我正在为我的网站实施忘记密码功能,在查看其他网站以获得最佳实践时,我发现 gmail 强制执行此限制,而我查看的其他网站没有强制执行此限制。
问问题
52 次
2 回答
1
关于密码和密码安全有很多相当过时的想法。
如果用户的密码被泄露——然后不管他们在多少天后更改它——攻击者现在就被系统阻止了。
如果该用户返回并重新使用他的旧密码,那么黑客可能会决定重试该帐户/密码并重新进入系统。
当然,它带来了一系列全新的问题。使用户不记得他的密码,他们将开始将密码写在粘在显示器上的便签上。
亲自?在我工作过的所有网站上,我从未认为添加密码过期/或/限制可能(重新)使用的密码很重要。
于 2012-08-24T06:46:55.550 回答
1
我原以为它几乎没有提供额外的安全性。您相信用户不会丢失密码,但我想它可以双向使用。
如果他们必须选择一个新密码,那么他们可能不得不写下来或者更有可能再次忘记它,但是如果他们有一个新密码,那么知道他们使用的密码的人不太可能使用它来访问您的网站.
无论哪种方式,请确保您存储的是散列密码以进行比较,而不是纯文本。
于 2012-08-24T06:49:16.913 回答