Framework detrás del mecanismo de restablecimiento de contraseña

0

Siempre he visto esos enlaces de "Contraseña olvidada" de sitios web que requieren algún tipo de inicio de sesión de usuario. ¿Puedo obtener una comprensión más profunda de cómo funciona esto? ¿Qué herramientas / marco debo usar porque estamos pensando en implementar este tipo de "automatización"? Creo que necesito una combinación de correo electrónico, OTP, etc.

Actualmente estamos en modo manual, es decir, enviando cartas de contraseña a través del correo postal y estoy pensando en renovar nuestro sitio. gracias

    
pregunta dorothy 20.03.2015 - 01:53
fuente

1 respuesta

2

Los mecanismos de restablecimiento de contraseñas normalmente funcionan así:

  1. El servidor genera una cadena aleatoria secreta (por ejemplo, 16 bytes leídos de /dev/urandom ).
  2. Luego, el servidor envía esta cadena al usuario, a menudo incrustada dentro de un enlace a una página de restablecimiento de contraseña. Un hash de la cadena se almacena en la base de datos para su posterior validación. Por lo general, la cadena solo es válida dentro de un período de tiempo determinado.
  3. Cuando el usuario hace clic en el enlace, el servidor comprueba la cadena transmitida. Si es válido, el usuario puede cambiar la contraseña.

Si bien este enfoque es muy común, obviamente está lejos de ser perfecto. Un correo electrónico de texto sin formato puede terminar en las manos equivocadas, en cuyo caso la cadena secreta se ve comprometida. Si este riesgo es aceptable o no, depende completamente de su aplicación y sus requisitos específicos.

    
respondido por el Fleche 20.03.2015 - 04:55
fuente

Lea otras preguntas en las etiquetas