通过 Twitter 上的直接消息而不是通过电子邮件向用户提供丢失的用户名或密码是否更好(更方便或更安全)?
问问题
869 次
9 回答
31
您根本不提供丢失的密码(主要是因为您不能,因为如果您做得对,您无论如何都不会以纯文本形式存储密码)。
您提供了一个重置功能,该功能允许用户在例如一个秘密问题或只是通过电子邮件的激活链接的帮助下更改他们的密码。
于 2009-07-14T17:38:41.253 回答
13
我真的不希望网站将我的用户名和密码扔到 Twitter 上。
不,谢谢!
于 2009-07-14T17:09:13.217 回答
5
它与通过电子邮件发送一样安全。如果您生成一个新密码,然后通过 dm 将其发送给用户,则只有用户可以阅读它。是的,用户可以通过未加密的连接以不安全的方式访问 Twitter。但是你也不能保证有人使用加密连接来访问他的邮件。
事实上,它可能更安全,因为您知道只有 twitter 管理员可以拦截消息,而没有管理员可以阅读他的用户的邮件
于 2009-07-14T17:35:13.647 回答
3
除了安全性之外,如果用户没有在 Twitter 上关注您,您也无法通过直接消息向您的用户发送密码重置信息、密码提醒或其他任何内容。除非您的网站本身就是 twitter 客户端,否则很大一部分潜在用户不会对关注您特别感兴趣,并且可能会反感被告知他们必须关注您(或至少关注/如果他们想使用您的网站,请更改密码/取消关注)。
更新: 我忘了提...如果您想将您的用户身份验证功能绑定到 twitter,那么为什么不直接使用 Twitter OAuth 而不是维护您自己的密码存储呢?它工作得很好(除了失败的鲸鱼),对用户来说非常快速和容易,并且对他们关注或不关注谁没有任何要求。
于 2009-07-14T17:48:19.957 回答
3
从阅读这篇文章开始:最好的“忘记密码”方法是什么?
这将使您朝着正确的方向开始。
于 2009-07-14T17:56:35.837 回答
2
已经有足够多的人指出您不应该以纯文本形式存储密码,所以我不会重复。
但是,如果您将一次性密码重置链接作为 Twitter DM 发送,那么您必须考虑到用户可能会在他们的手机上收到该消息。
然后,您必须确保该链接指向的任何内容都已设置为在手机网络浏览器上正确显示。
然后你会希望你只是坚持使用电子邮件。
于 2009-07-14T20:27:49.760 回答
2
当我忘记密码时,我希望 UPS、FedEx 或 USPS 发送我的密码。
惩罚用户。
不良用户。
于 2009-07-14T18:31:20.197 回答
0
保护您的密码,不要通过电子邮件或推特发送任何内容。查找MD5和其他算法来执行此操作。
维基百科说:
在密码学中,MD5(Message-Digest algorithm 5)是一种广泛使用的密码散列函数,具有 128 位散列值。作为 Internet 标准 (RFC 1321),MD5 已被广泛用于各种安全应用程序,并且通常用于检查文件的完整性。
当我看到一个网站在没有加密的情况下存储我的密码时,我讨厌它......如果该网站开始通过推特向我发送我的密码,我会破坏一些东西。
于 2009-07-14T17:51:14.100 回答
0
不要通过任何不安全的通道逐字发送密码,而是发送随机数。如:用户点击一次性URL,验证个人信息,然后强制选择新密码。
这样,如果消息被截获,就不会造成任何损害,而不会破坏个人问题。
于 2009-07-14T18:03:20.440 回答