>发送密码重置链接到用户的电子邮件。
>向用户询问密码恢复问题。
>重置现有密码并创建新密码并将其发送给用户。这也可能迫使用户在下次登录时更改密码。
我们是否有任何非传统技术来实现密码检索机制?您为此尝试了哪些其他方法?
谢谢。
解决方法
>支持成本 – 从业务角度来看,这是最大的因素。用户经常忘记密码提示或使用假邮件地址或忘记用户名。所有这些都是您可以获得支持请求的合法问题。这反过来又创造了另一个问题,您必须通过向他们询问最近的帐户活动以及没有建立用户的合法性。如果你不提供这个级别的支持,很多新手的用户将会失望。通过电子邮件发送密码重置链接可以减轻这些担忧,因为用户通常会有一个或两个电子邮件地址,他们可以通过提供他们的电子邮件地址轻松恢复用户名/密码。>安全问题 – 从技术角度来看,这是最大的因素。这里有各种各样的问题需要衡量。受损的电子邮件帐户意味着黑客可以访问所有用户的服务,允许通过电子邮件发送密码重置链接。您可以通过电子邮件将密码重置链接发送给用户,然后再向用户发出密码提示问题,然后允许他们重置密码。再次,你不应该在任何媒体上暴露用户的密码。事实上,如果您有能力向他们显示密码,那么您的系统已经不安全,因为它意味着您不会使用像SHA-1这样的安全哈希存储他们,并且您公司的开发人员可以获得所有人的密码。>可用性 – 从用户角度来看,这是最大的因素。发送密码重置链接要求用户去查看他们的电子邮件地址,这意味着实现任务的时间可以达到2甚至3分钟。不过,我认为这不算什么大事。大多数用户似乎并不介意这一点,因为他们认为他们是错误的,这是一个安全措施的最佳利益。我只是假设个人经验,用户一般可能会有所不同。我将安全性作为比用户体验更高的优先级,因为用户很少需要检索他们的密码(用户长时间没有登录,忘记了他的密码;用户已经在重新安装的浏览器中保存了密码,一些其他边缘案例)。
原文地址:https://www.jb51.cc/html/233599.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
