重置 ASP.NET 密码 - 安全问题？

Question

我看到了有关此问题的各种问题，但有几个问题尚未被提出。如果用户忘记了密码，我希望他们能够仅使用他们的电子邮件地址重置密码（即没有安全问题/答案）。密码存储为加盐哈希，因此无法恢复。相反，我只是希望用户在确认他们已请求重置后输入新密码。

提到的一种常见方法是简单地：

1) 创建一个随机 Guid/加密强度强的随机数

2) 将包含随机数的唯一 URL 发送到用户的电子邮件 地址

3) 确认后，系统会要求用户更改密码

但是，这是否容易受到 MITM 攻击？如果通过互联网向电子邮件发送临时密码是不安全的，那么这样做与仅发送攻击者可以导航到的唯一 URL 之间有什么区别？ 我是否错过了某个使该系统更安全的关键步骤（或者是否有更好的重置密码的方法）？

谢谢

Answer 1

如果您正确构造哈希，则 URL 点击必须来自请求重置的 IP 地址。这需要 MITM 欺骗 IP 和/或伪造标头。虽然这是可能的，但您可以识别相关系统的哈希值越独特，“结束”哈希值就越困难。

还建议该 guid 是特定标准的单向散列。还可以使用私钥解锁的公钥对请求中的系统数据进行加密，这样当单击 url 时，相同的公共加密系统数据必须伴随哈希值，并且唯一可以解密这些值的系统是服务器上保存的私钥。基本上是散列的伪 PKI 附件。

Answer 2

您验证用户身份的方法是共享秘密（密码）。

如果用户忘记了该秘密，您需要一种建立新共享秘密的方法。无论您采取什么方式，您仍然会遇到验证用户身份以共享新秘密的问题。

如果您唯一了解的可用于对用户进行身份验证的用户信息是他们的电子邮件地址，那么您将需要某种方法来确认请求重置的用户控制该电子邮件地址。

到目前为止，唯一的方法是将机密通过电子邮件发送到该电子邮件地址并检查他们是否收到。

这总是容易受到足够偷偷摸摸的 MitM 攻击。

您不发送临时密码的原因是为了避免“用户不愿意更改，因此继续使用不安全的临时密码而不是自己的安全密码”的问题。

Answer 3

为了降低中间人攻击的风险，我使用了以下措施：

• 重置请求只能使用一次。
• 如果未使用重置请求，它将在一小时后过期。
• 所有重置请求都会被永久记录，无论其最终完成还是过期。