Einige Vorschläge:

Setzen Sie das Kennwort des Benutzers erst zurück, wenn es bestätigt wurde. Setzen Sie das Kennwort des Benutzers nicht sofort zurück. Setzen Sie es erst zurück, wenn der Benutzer auf einen Bestätigungslink klickt, der an seine vorregistrierte E-Mail-Adresse gesendet wurde.

CAPTCHA erforderlich. Wenn ein Benutzer das Zurücksetzen seines Kennworts anfordert, erzwingen Sie ihn ein CAPTCHA zu lösen, bevor Sie fortfahren. Dies soll verhindern, dass automatisierte Tools versuchen, vielen Benutzern Kummer zu bereiten, und den Benutzer dazu zwingen, zu beweisen, dass sie ein Mensch (kein Roboter) sind.

Zufälligkeit. Die zeitlich begrenzte Die URL zum Zurücksetzen des Kennworts sollte eine zufällige, nicht erratbare Komponente enthalten. Stellen Sie sicher, dass Sie Zufälligkeit in Kryptoqualität verwenden. Die Ausgabe von / dev / urandom oder System.Security.Cryptography.RNGCryptoServiceProvider wäre eine gute Wahl. Die Ausgabe von rand () oder random () oder System.Random ist nicht zufällig genug und wäre eine schlechte Wahl. Eine GUID oder ein Zeitstempel ist nicht zufällig genug und wäre keine gute Wahl.

Geben Sie ein Zeitlimit an. Der Link zum Bestätigen des Zurücksetzens sollte nach einer angemessenen Zeit ablaufen: beispielsweise 24 Stunden . Der Link sollte nur einmal verwendbar sein und sofort ablaufen, sobald er verwendet wird.

Fügen Sie der E-Mail einen erläuternden Text hinzu. Möglicherweise möchten Sie dem Text einen erläuternden Text hinzufügen E-Mail, um zu erklären, warum die E-Mail gesendet wurde, falls jemand einen Reset für ein Konto anfordert, das nicht Ihr eigenes ist. Sie können einen Text wie "Jemand hat angefordert, dass das Passwort für Ihr Konto Benutzername auf der Site zurückgesetzt wird. Wenn Sie diese Anfrage gestellt haben, klicken Sie hier, um Ihr Passwort zu ändern. Wenn Wenn Sie diese Anforderung nicht gestellt haben, klicken Sie hier, um die Anforderung abzubrechen. "

E-Mail senden, nachdem das Kennwort zurückgesetzt wurde. Wenn das Kennwort erfolgreich zurückgesetzt wurde, senden Sie eine E-Mail an den Benutzer an Lassen Sie sie wissen, dass das Passwort geändert wurde. Fügen Sie das neue Passwort nicht in diese E-Mail ein.

Stornierungen überwachen. Sie können eine Logik einfügen, um die Häufigkeit zu überwachen, mit der Benutzer auf den Stornierungslink klicken, um anzuzeigen, dass sie keinen Reset angefordert haben. Wenn dies einen bestimmten Schwellenwert überschreitet, kann es nützlich sein, eine Warnung an die Systembetreiber zu senden. Wenn ein Stornierungslink für eine Anfrage nach dem Bestätigungslink besucht wird, ist dies ein möglicher Hinweis auf einen Angriff auf diesen Benutzer. Möglicherweise möchten Sie an diesem Punkt Maßnahmen ergreifen, z. B. ungültig machen das Passwort des Benutzers und fordern Sie ihn auf, sein Passwort erneut zurückzusetzen. (Dies ist eine Verteidigung gegen den folgenden Angriff: Der Angreifer erhält Zugriff auf das Postfach des Benutzers, fordert das Zurücksetzen seines Kennworts auf Ihrer Site an und besucht dann den Bestätigungslink. Wenn der Angreifer diese E-Mails nicht aus dem Posteingang des Benutzers löscht, Wenn der echte Benutzer dann seine E-Mail liest, klickt er möglicherweise auf den Stornierungslink, um auf mögliche Probleme hinzuweisen.)

Verwenden Sie HTTPS. Der Link sollte https (nicht http) verwenden :), um sich vor verschiedenen Angriffen zu schützen (z. B. Firesheep-Angriffe auf Benutzer, die von einem Internetcafé aus im Internet surfen).

Protokollieren Sie diese Vorgänge. Ich empfehle, alle derartigen Anforderungen zu protokollieren. Zusätzlich zur Protokollierung des Benutzernamens des Benutzers möchten Sie möglicherweise die IP-Adresse des Clients protokollieren, der eine E-Mail an den Benutzer gesendet hat, sowie die IP-Adresse des Clients, der den Rücksetzlink besucht hat.

Zusätzliche Lektüre. Vielleicht möchten Sie auch Troy Hunts hervorragenden Blog-Beitrag lesen, Alles, was Sie schon immer über das Erstellen einer sicheren Funktion zum Zurücksetzen von Passwörtern wissen wollten. Vielen Dank an @coryT für einen Link zu dieser Ressource.

Zuletzt sollten Sie die Nicht-Kennwortauthentifizierung in Betracht ziehen. Kennwörter haben viele Probleme als Authentifizierungsmechanismus, und Sie können andere Methoden zur Authentifizierung von Benutzern in Betracht ziehen, z. B. das Speichern eines sicheren dauerhaften Cookies auf ihrem Computer mit einem nicht erratbaren Wert Geheimnis, um sie zu authentifizieren. Auf diese Weise gibt es kein Passwort zum Vergessen und keine Möglichkeit für den Benutzer, einen Phishing durchzuführen registrierte Emailadresse). Dieses Umfragepapier bietet eine hervorragende Übersicht über viele Fallback-Authentifizierungsmethoden und ihre Stärken und Schwächen.

Troy Hunt hat genau diese Frage sehr gut beschrieben. Alles, was Sie schon immer über das Erstellen einer sicheren Funktion zum Zurücksetzen von Passwörtern wissen wollten

OK, Ihre Frage ist also, wie Sie den Prozess zur Wiederherstellung von Kennwörtern / Konten strukturieren sollten. Dies hängt davon ab, wofür Sie optimieren möchten: problemlose Benutzererfahrung oder gute Sicherheit.

Wenn Sie gute Sicherheit wünschen:

• Während der Anmeldung muss der Benutzer seine E-Mail-Adresse eingeben.

• Während der Anmeldung muss der Benutzer einen sekundären Kanal zur Authentifizierung eingeben - Handynummer oder Frage stellen &-Antwort (dh " was ist Mädchenname Ihrer Mutter "oder besser).

• Während der Wiederherstellung erhält Ihr System zunächst eine grobe Überprüfung der Identität mithilfe des oben genannten sekundären Kanals - der Herausforderung Frage oder per SMS an das Mobiltelefon oder ähnliches.

• Wenn die erste oben genannte Identitätsprüfung abgeschlossen ist, sendet das System eine E-Mail zum Zurücksetzen des Kennworts nur an die zuvor eingegebene E-Mail-Adresse . Dies ist eine zusätzliche wichtige Maßnahme, um f.x. Exploits vom Typ Sarah Palin.

• Die E-Mail darf kein neues Kennwort oder ähnliches enthalten. Es sollte einen anklickbaren Link zu einer HTTPS-verschlüsselten Webseite auf Ihrer Website enthalten, die a) über einen nicht erratenen geheimen Wert in der URL b) mit dem Konto verknüpft ist em> ist zeitlich begrenzt, sodass die Kontowiederherstellung nur x Stunden nach der Anforderung funktioniert. c) bietet dem Endbenutzer die Möglichkeit, ein neues Kennwort zu erstellen.

• Haben Sie eine gute Protokollierung aller Transaktionen zum Zurücksetzen des Kontos und lassen Sie diese von einem Menschen tatsächlich überwachen und handeln, wenn sie verdächtig erscheinen (überprüfen Sie die Serverprotokolle auf die IP-Adressen fx, do Viele Anfragen kommen von derselben IP-Adresse. Gibt es Fälle, in denen ein Benutzer versucht, Kennwörter aus einem anderen Land als dem des registrierten Kontoinhabers usw. zurückzusetzen?

Sie können diese Komplexität auch ganz umgehen: Es ist noch sehr früh, aber OAuth / OpenID / Anmelden über Facebook, Google usw. entfernt diese Komplexität vollständig von Ihren Systemen, aber möglicherweise mit einem weniger gut etablierte Benutzerfreundlichkeit.

Jeder Ort, an dem Sie ein Passwort erhalten können, bedeutet, dass das Passwort nicht gehasht wird, sondern dort gespeichert wird, wo es für "Klartext" entschlüsselt werden kann. Dies ist an sich schlecht.

Wahrscheinlich nicht "am sichersten", aber sicherer wäre:

Senden Sie auf Anforderung eines Kennworts einen Link zum Zurücksetzen des Kennworts an den Benutzer mit eingebetteter GUID. Die Sitzung in der GUID läuft in, hmm, Stunde oder so ab.

Eine andere Möglichkeit, die für Ihre Anwendung geeignet sein kann oder nicht, aber in Online-Banking-Anwendungen und ähnlichen Anwendungen verwendet wird, besteht darin, die Hälfte des Rücksetzcodes per SMS an ein registriertes Mobiltelefon zu senden. Aus der Sicht eines Angreifers ist dies eine vollständige PITA, da einige Kanäle kompromittiert werden müssen, um zu brechen.

Der sicherste Weg, ein Zurücksetzen des Kennworts durchzuführen, besteht darin, ein großes zufälliges eindeutiges einmaliges Zurücksetzen-Token mit einem Ablaufdatum zu generieren, das an die Benutzer-ID gebunden ist. Das Token sollte in der Datenbank gehasht werden, da ein Angreifer mit SQL-Zugriff damit beliebige Benutzerkennwörter zurücksetzen kann.

Ein Reset-Link sollte an die E-Mail-Adresse gesendet werden, die das Reset-Token enthält. Wenn der Benutzer auf den Link klickt, sollte der Hash des Tokens in der Datenbank gefunden und das Ablaufdatum für die Zukunft überprüft werden. Wenn diese Bedingungen erfüllt sind, sollte dem Benutzer ein Bildschirm angezeigt werden, auf dem er ein neues Kennwort eingeben kann.

Dieser gesamte Vorgang muss über SSL erfolgen, andernfalls muss ein Angreifer Möglicherweise wird die URL beschnüffelt und das Kennwort zurückgesetzt, bevor der Benutzer dies tut.

Einige andere Tipps:

1. Geheime Fragen stellen einen geringfügigen Ärger für Angreifer und einen großen Ärger für Benutzer dar. Vermeiden Sie sie vollständig.
2. Stellen Sie den Benutzer vor dem Senden des Kennwort-Resets vor eine Herausforderung zur Überprüfung durch den Menschen (z. B. ein CAPTCHA). Dies verhindert automatische Rücksetzanforderungen.
3. Überprüfen Sie, ob die IP-Adresse, die das Zurücksetzen durchführt, zuvor erfolgreich beim Konto angemeldet wurde. Wenn dies nicht der Fall ist, fragen Sie nach weiteren Details zum Konto / Benutzer, z. Erstellungsjahr des Kontos, Geburtsdatum, erste Adresszeile.
4. Fügen Sie einen Link "Ich habe nicht nach dieser E-Mail gefragt" hinzu, damit Benutzer fehlerhafte Anfragen zum Zurücksetzen des Passworts melden können.
ol >

2-Faktor-Authentifizierung per SMS! Wenn Sie den Kunden und seine Handynummer kennen, senden Sie ihm einen eindeutigen Code, der der Website hinzugefügt werden muss, um zu bestätigen, dass er es ist :)

Machen Sie ein paar Schritte. Zum Beispiel:

1. Benutzer vergisst sein Passwort. Er klickt auf die Schaltfläche "Ich habe mein Passwort vergessen, sende mir eine E-Mail, was als nächstes zu tun ist" (Tastenbeschriftung kann abweichen;))
2. Ihr Server sendet ihm einen Link www.yourdomain.com/lostpassword?param_1 = x; param_2 = y
3. Er klickt auf den Link und kann sich ein neues Passwort erstellen.
4. Er klickt auf Senden. Alles getan. Alle glücklich
ol>

Ein einziger Fang ist in Punkt 3). X- und Y-Werte sollten zufällig, unvorhersehbar und mit diesem einen bestimmten Konto verbunden sein. Sie sollten auch nur einmal verwendet werden und nach kurzer Zeit (24 Stunden?) Veraltet sein. Speichern Sie beide Werte in einer dedizierten Tabelle mit den entsprechenden Spalten:

  | some_id | user_id | X | Y | expire_time  

Wenn ein Benutzer versucht, den richtigen Link zu verwenden, prüfen Sie, ob die Ablaufzeit nicht eingehalten wird, und erlauben Sie ihm, das Kennwort zu ändern, wenn dies nicht der Fall ist.