无需通过电子邮件发送密码即可恢复密码

Question

因此，我一直在使用 asp:PasswordRecovery 并发现我真的不喜欢它，原因如下：

1) 即使无法访问 Alice 的电子邮件，Alice 的密码也可以重置。 密码重置的安全问题缓解了这个问题，但并不能真正令我满意。

2) Alice 的新密码以明文形式发回给她。 我宁愿向她发送一个指向我的页面的特殊链接（例如 example.com/recovery.aspx?P=lfaj0831uefjc 之类的页面），这将让她更改密码。

我想我可以通过创建某种过期密码恢复页面表并将这些页面发送给要求重置的用户来自己完成此操作。 不知何故，这些页面还可以在幕后更改用户密码（例如，通过手动重置密码，然后使用新密码的文本来更改密码，因为在不知道旧密码的情况下无法更改密码）。 我确信其他人以前也遇到过这个问题，而且这种解决方案让我觉得有点老套。 有一个更好的方法吗？

理想的解决方案不会通过直接访问数据库来违反封装，而是使用数据库中现有的存储过程......尽管这可能是不可能的。

Answer 1

我目前正在 Spring + SpringSecurity 之上实现一个开源 用户管理系统 ，这就是我解决丢失密码问题的方法。

1. 用户的帐户必须有预先注册的电子邮件地址。
2. 要请求重置，用户需要在表单中输入其帐户名。
3. 生成临时“重置代码”并将其附加到帐户，并通过嵌入超链接的电子邮件发送给用户。
4. 收到电子邮件后，用户单击链接进入输入新密码的页面。
5. 在接受新密码之前，将根据存储的代码检查重置代码（来自链接），以确保其正确且未过期。

这可以避免在电子邮件中发送密码（明文）。 它还可以防止一个人重置另一个人的密码只是为了造成麻烦，因为密码重置仅在使用链接后才会发生。

但它确实依赖于用户电子邮件帐户的安全，以及电子邮件在传输过程中不被窥探。 对于某些应用程序来说，这可能是不可接受的风险。

另一个因素是，您在更改用户的注册电子邮件地址时需要非常小心。 至少，用户必须在请求更改地址时输入当前密码……以防止通过无人值守的登录会话进行黑客攻击。

Answer 2

我建议添加额外的检查级别，这里有一些选项可供选择。

1. 首先，您可以将请求者的 IP 地址保存在数据库中，然后当他们单击重置链接时，将其与当前计算机的 IP 地址进行比较，如果匹配，则重置密码。 如果电子邮件被拦截，则尝试重置密码的人必须拥有匹配的 IP 地址。
2. 使用 cookie 并存储唯一值，可能是 GUID、MD5 哈希值或其他值。 因此，当用户发出密码重置请求时，cookie 会存储在他们的计算机和数据库中，当用户单击链接时，本地 cookie 必须与数据库值匹配，否则他们将无法重置密码。

一般来说，我完全反对在电子邮件中发送密码，因此我更喜欢密码重置链接选项，而不是新的纯文本密码。