2

我已经阅读了这两个关于忘记密码的链接,以及根据几种情况和情况重置密码的更好方法......

忘记密码:实现忘记密码功能的最佳方法是什么? 最好的“忘记密码”方法是什么?

但我手头有一点不同的事情。

我们正在考虑重置密码/忘记密码的事情,但挑战是我们有属于群组电子邮件的用户

例如engineering@mycorporate.com、h.resource@mycorporate.com 等

每个群组邮箱有很多用户,他们的邮箱是群组的一部分,他们需要使用群组邮箱登录本地内网系统。

如果我们有一个忘记密码链接让他们重置密码,我在这里看到了一些可能性:

  1. 用户在群组电子邮件中输入密钥,验证群组电子邮件,发送带有一些唯一字符串但临时 1 小时的链接,单击电子邮件中的唯一链接,输入新密码并确认新密码。

  2. 用户在群组邮箱中输入密钥,验证群组邮箱,向群组邮箱发送随机生成的新密码,要求他们在 1 小时内登录并更改密码。

但不知何故,问题仍然来自群组电子邮件,任何属于群组的用户都会知道随机密码(第 2 点)

但是,如果使用第 1 点或第 2 点的任何一种方法,Y 人执行忘记并重置密码,Z 人或其他任何人都不知道新重置的密码......

你怎么看?

4

1 回答 1

0

对群组电子邮件的收件人保密是没有意义的,因为他们每个人都可以启动并完成密码重置过程并将密码设置为他们喜欢的任何内容。如果有问题的帐户不应该可供电子邮件组的所有成员访问,则应将其更改为引用个人电子邮件地址而不是组一。

如果您确实打算让电子邮件组的所有成员都知道密码,那么无论您为实际更改实施何种机制,您都需要有一些渠道将新密码分发给所有成员。如果您可以依靠公钥加密并确保只有实际授权的收件人能够读取密码,则电子邮件是可以的,或者如果它不是一个非常关键的系统,您可以忽略安全最佳实践并发送新密码纯文本电子邮件。

于 2012-05-28T09:20:58.637 回答