如何保护重置密码功能？

Question

我想实现重置密码功能，以防用户丢失密码。但我担心有人能够对不属于他的单个或多个电子邮件地址发出大量此类请求，这会让这些地址的实际所有者感到烦恼，而且我最终会被列入黑名单。

我可以采取什么措施来保护此功能？设置每个 ip 发送的有效电子邮件的限制？ （我想最多 3 封电子邮件就可以了）

Answer 1

忘记密码页面保护：

• 输入无效电子邮件时显示成功消息。当有人输入无效电子邮件时，告诉用户重置密码链接已发送到您的电子邮件（但不要实际上让代码做任何事情）。这将防止黑客试图识别系统上的有效帐户。

• 使用验证码短语。避免恶意脚本触发大量电子邮件的许多重置密码请求。

• 特定电子邮件的重置密码链接每小时发送的次数不应超过 3 次（左右）。这将防止数据库表中存储的重置链接过多而淹没数据库并填满数据磁盘。

Answer 2

为什么不简单地将验证码添加到密码重置请求表单中？然后，您可以限制每个电子邮件地址以及每天/每周/每月的请求数量，但验证码可以让机器人远离。

Answer 3

假设您正在编写一个要在互联网上使用的应用程序，而您无法控制用户的注册，则可以对用户帐户上尝试的密码重置尝试次数设置滚动限制。

滚动限制将用于确保不会在短时间内发出过多的密码重置请求。您可以限制用户发出 3 次密码重置请求，但只能在 1 小时内，甚至可能是 1 天；您的企业应该能够确定最佳值，特别是如果用户还可以通过其他方式（通过发送电子邮件或致电服务台）发出密码重置请求。

此外，您可以将生成的令牌（我假设您在每封邮件中发送密码重置令牌）与预定义的到期日期相关联，并且所有此类令牌只能使用一次。理想情况下，令牌的持续时间不应超过几个小时。除了通常的身份验证尝试之外，高度敏感的应用程序还将审核所有密码重置请求。

最后，您还可以对源自特定 IP 的密码重置请求的数量设置限制（这是 DoS 预防攻击，无法抵御 DDoS 攻击）。不用说，如果尝试重置密码，则不应在此期间禁用关联帐户。这样做会导致成功的 DoS 攻击，攻击者只需针对已知电子邮件 ID 数据库发出密码重置请求即可禁用帐户。在建立限制时，您必须考虑 ISP 代理，否则您可能会在此过程中实际上伤害一些客户。

Answer 4

我看到其他网络属性引入了新的密码重置系统（比验证码好得多），该系统提供某种形式的 2FA（双因素身份验证），您可以在其中远程签名到您的帐户，作为备份。用户收到发送到其单元格的一次性 PIN 码，然后将其输入。无需处理垃圾邮件过滤器，无需重新加载验证码表单等......更容易。防止批量注册、垃圾邮件，通常比其他解决方案更有效、更用户友好。

Answer 5

请注意 IP 的设置限制。您经常会遇到通过单个 IP（即企业网络）暴露大量用户的单个互联网网关。

如果您担心重置特定地址的请求数量，那么这更多的是可用性问题，而不是安全问题。我倾向于定义一个可接受的比率，它可以在不允许太多重置请求与执行重置变得太困难之间取得平衡（即原始电子邮件被垃圾邮件捕获，因此请求另一封电子邮件）。例如，记录请求的时间，并在 15 分钟内不允许另一个请求。

但实际上，我不会对此太担心。如果你真的想的话，有无数种通过电子邮件与某人搞砸的方法，所以除非利用你的重置功能有特别有吸引力的东西，否则我只会做大多数网站所做的事情，并在需要时允许重置，并且只有在之后才真正重置密码用户收到电子邮件并执行操作。