Dies ist, was ich normalerweise mache:

1. Der Benutzer fragt nach einem Zurücksetzen des Passworts.

2. Das System fragt nach dem registrierte E-Mail.

3. Der Benutzer gibt eine E-Mail ein. Unabhängig davon, ob eine E-Mail vorhanden ist oder nicht, geben Sie an, dass Sie einen Rücksetzlink gesendet haben.

4. Der Server speichert E-Mail-, Ablauf- und Reset-Token in einer reset_password -Tabelle

5. Wenn auf den Link zugegriffen wird, wird der Ablauf überprüft und ein Formular erstellt Das Zurücksetzen des Passworts wird angezeigt.

ol>

Der Benutzer erhält nur einen Link mit einem großen zufälligen Token.

Sie sollten dem Client nicht vertrauen. Wenn der Client also in der Phase, in der das neue Passwort eingegeben wird, seinen Benutzernamen senden kann, was passiert, wenn er den Benutzernamen in den eines anderen ändert? Sie können das Konto eines anderen Benutzers zurücksetzen und das Konto übernehmen.

Die Antwort von @ ThoriumBR ist natürlich richtig. Eine andere Möglichkeit besteht darin, keinen Status auf dem Server zu speichern und alle im Reset-Link enthaltenen Informationen wie Benutzername und Ablaufzeit zu codieren. Dies kann sicher erfolgen, indem die Informationen mit HMAC oder ähnlichem kryptografisch signiert werden. Es gibt wahrscheinlich Bibliotheken für Ihre Sprache, die damit umgehen können, z. B. itsdangerous für Python.

Um die hervorragende Antwort von ThoriumBR zu ergänzen:

• Benutzer fragt nach einem Zurücksetzen des Passworts
• System fragt nach der registrierten E-Mail
• Benutzer gibt E-Mail ein, und unabhängig davon, ob E-Mail vorhanden ist oder nicht, sagen Sie, dass Sie einen Rücksetzlink gesendet haben, das Kennwort jedoch noch nicht zurückgesetzt haben.
• Server speichert E-Mail, Ablauf und Reset-Token in einer reset_password -Tabelle
• , wenn auf den Link zugegriffen wird…
  • Server überprüft den Ablauf des Reset-Tokens
  • Überprüft, ob es nicht verwendet wurde, bevor ,
  • der Benutzer zusätzliche Authentifizierungstoken eingeben muss. Dies kann 2FA, SMS-Code, Antwort auf voreingestellte Sicherheitsfragen usw. sein. und Schließlich
  • öffnet ein Formular zum Zurücksetzen des Kennworts.
  • Danach sollte der Benutzer in einem "abgemeldeten" Zustand belassen werden, in dem er sich mit dem neuen anmelden müsste Kennwort für den Zugriff auf die Anwendung.
• Zusätzlich überprüft der Server, ob der Reset-Link nur für verwendet wurde ce innerhalb der Ablaufzeit

Der Benutzer erhält nur einen Link mit einem großen zufälligen Token.

Das Senden eines Benutzernamens hat keinen Sinn. Auf der Serverseite speichern Sie Informationen darüber, welches Token zum Zurücksetzen des Kennworts mit welchem ​​Benutzer zusammenhängt. Wenn der Benutzer auf den Link klickt, wissen Sie genau, um welchen Benutzer es sich handelt. Sie erhalten den Benutzernamen basierend auf dem Token und zeigen ihn im Formular zum Zurücksetzen des Kennworts an.

Das Zurücksetzen eines Kennworts ist eine authentifizierte Operation und setzt voraus, dass sich der Benutzer auf sichere Weise identifiziert hat. Normalerweise erfolgt dies mit einem Benutzernamen und einem Passwort sowie einem zweiten Faktor. Der Benutzername und das Kennwort werden häufig gleichzeitig in derselben HTTP-Anforderung übermittelt. Dies ist keine Seltenheit und keine rote Fahne.

In einem Szenario mit vergessenem Kennwort ist die Notwendigkeit, den Benutzer zu authentifizieren, genau gleich. Dies bedeutet, dass sie ihren Benutzernamen sowie eine alternative Form von Anmeldeinformationen übermitteln (in Ihrem Fall verwenden Sie möglicherweise Herausforderungsfragen, die ich nicht kommentieren werde). Abgesehen davon ist es immer noch eine Authentifizierung, und es ist kein Problem, den Benutzernamen und die Anmeldeinformationen gleichzeitig zu übermitteln, genau wie bei der regulären Anmeldung.

Das Problem tritt auf, wenn Sie den Benutzernamen auf einem sammeln separate Seite. Dies ist häufig bei Workflows der Fall, die eine benutzerspezifische Herausforderung und Antwort beinhalten (z. B. Herausforderungsfragen, aber auch bei Out-of-Band-OTPs), da das System den Benutzernamen im Voraus kennen muss, damit es weiß, welche Fragen angezeigt werden sollen oder wohin Senden Sie das OTP. Die Versuchung besteht darin, den Benutzernamen auf einer separaten Seite zu sammeln und ihn dann als versteckte Formularvariable weiterzugeben. Dies unterliegt Manipulationen auf der Clientseite und stellt daher einen Vektor für einen IDOR -Angriff bereit.

Die Abschwächung besteht darin, das vergessene Kennwort "Sitzung" auf die gleiche Weise zu behandeln, wie Sie es verwalten eine gewöhnliche Anmeldesitzung; Verwalten Sie den Benutzernamen manipulationssicher, z. B. ein verschlüsseltes Cookie oder eine Sitzungsvariable. Versteckte Felder sind trivial zu manipulieren.

Ich habe ähnlich wie in ThoriumBRs hervorragender Antwort beschrieben, aber ohne eine temporäre Kennworttabelle zum Zurücksetzen verwendet, wie folgt:

• Die Benutzer fragt nach einem Zurücksetzen des Kennworts.

• Das System fragt nach der registrierten E-Mail.

• Der Benutzer gibt E-Mail ein und nein Unabhängig davon, ob eine E-Mail vorhanden ist oder nicht, sagen Sie, dass Sie einen Reset-Link gesendet haben. Der Link wird durch Verschlüsseln des Benutzernamens und einer Ablaufzeit mit AES mit einem Schlüssel erstellt, der nur dem Server bekannt ist.

• Wenn auf den Link zugegriffen wird, Der Link wird mit dem dem Server bekannten Schlüssel entschlüsselt, wobei der Benutzername und das Ablaufdatum angegeben werden. Wenn die Entschlüsselung erfolgreich ist, wird der Ablauf überprüft und wenn die Ablaufzeit nicht abgelaufen ist , wird ein Formular zum Zurücksetzen des Kennworts angezeigt. Der verschlüsselte Link wird in einem ausgeblendeten Feld im Formular ausgefüllt. Wenn das Formular gesendet wird, wird der Link erneut mit dem dem Server bekannten Schlüssel entschlüsselt, wobei der Benutzername und der Ablauf erstellt werden. Wenn die Entschlüsselung erfolgreich ist, wird der Ablauf erneut überprüft. Wenn die Ablaufzeit nicht abgelaufen ist, wird (und nur dann) das Kennwort für den Benutzer zurückgesetzt.

Benutzer erhält nur einen Link mit einem großen zufälligen Token.

Ich habe bereits eine hoch bewertete Antwort auf genau diese Frage. Sie können darauf aufbauen, um andere Funktionen wie die Eingabe von E-Mails anstelle von Benutzernamen und Sicherheitsfragen einzuschließen.

1. Der Benutzer gibt seinen Benutzernamen ein und klickt auf "Passwort vergessen". Ich empfehle auch die Option, die E-Mail-Adresse anstelle des Benutzernamens einzugeben, da Benutzernamen manchmal auch vergessen werden.
2. Das System verfügt über eine Tabelle password_change_requests mit den Spalten ID , Time und UserID . Wenn der neue Benutzer die Taste drückt, wird ein Datensatz in der Tabelle erstellt. Die Spalte Zeit enthält die Zeit, zu der der Benutzer auf die Schaltfläche "Passwort vergessen" geklickt hat. Die ID ist eine Zeichenfolge. Eine lange zufällige Zeichenfolge wird erstellt (z. B. eine GUID) und dann wie ein Kennwort gehasht (was an und für sich ein separates Thema ist). Dieser Hash wird dann als 'ID' in der Tabelle verwendet.
3. Das System sendet eine E-Mail an den Benutzer, die einen Link enthält. Der Link enthält auch die ursprüngliche ID-Zeichenfolge (vor dem Hashing). Der Link sieht ungefähr so ​​aus: http://www.mysite.com/forgotpassword.jsp?ID=01234567890ABCDEF . Die Seite forgetpassword.jsp sollte in der Lage sein, den ID-Parameter abzurufen. Entschuldigung, ich kenne Java nicht, daher kann ich nicht genauer sein.
4. Wenn der Benutzer auf den Link in der E-Mail klickt, wird er auf Ihre Seite verschoben. Die Seite ruft die ID von der URL ab, hasht sie erneut und vergleicht sie mit der Tabelle. Wenn ein solcher Datensatz vorhanden ist und nicht älter als beispielsweise 24 Stunden ist, wird dem Benutzer die Aufforderung zur Eingabe eines neuen Kennworts angezeigt.
5. Der Benutzer gibt ein neues ein Passwort, drückt OK und alle leben glücklich bis ans nächste Mal!
ol>