我是计算机科学系的一名学生网络开发人员,我被要求研究修改我们的 linux 帐户密码重置程序。目前,用户将使用他们的大学凭据(通过 Active Directory)登录,并且在通过身份验证后,他们会通过电子邮件获得一个临时密码,他们在登录后必须立即更改该密码。这样,如果它截获的临时密码存在甚至可以使用的时间跨度非常短。
现在的想法是,我们可能允许用户选择一个新的永久密码并直接通过 Web 实用程序设置,而不是使用临时密码。据我了解,https 更多的是“我们拥有的最好的”,而不是“保护信息的好方法”。我是否可以探索任何其他途径来保护新密码,以便我们可以放心地实施这样的系统?
基本上,如果您通过HTTPS与服务器通信并且服务器的私钥没有暴露给其他人,那么您可以确定您传输的任何内容(例如新密码)只能由服务器解密。此外,服务器证书确保您正在与之通信的服务器确实是您要与之通信的服务器。
因此,使用 HTTPS 提供身份验证并防止窃听。
如果您使用 Active Directory,据我了解,不支持密码修改扩展操作(需要现有密码)。因此,必须使用 LDAP 修改请求更改密码。一种解决方案是将UnboundID LDAP SDK与 Web 应用程序一起使用,以使用新密码执行 LDAP 修改。修改请求应通过安全连接传输,或使用 StartTLS 扩展操作将非安全连接提升为安全连接。
ldapmodify的,但这些概念很有用。