0

我想降低密码恢复密码 asp.net 的复杂性。例如,如果用户进行恢复,它只会发送带有数字的随机密码。不是复杂的字符!我的第二个问题是恢复密码可以再次将旧用户密码发送到他/她的电子邮件吗?谢谢你

4

2 回答 2

0

我建议进行设置,这样您就不会通过邮件向用户发送新密码。而是向生成的 URL 发送一个链接,该链接在用户可以设置新密码的特定时间有效。通过这种方式,您可以绕过许多将密码发送给邮件中的用户的安全问题。

于 2012-12-11T10:26:57.027 回答
0

发送旧密码是非常糟糕的做法,也是系统中的一个巨大安全漏洞。用户通常会重复使用密码。如果有人访问您的数据库或按下用户密码恢复按钮,您的用户就会被盗用。因此,您必须将它们保存为带有盐的哈希。让用户更改密码的一种方法是发送一个 1 次可用的链接,他们可以在其中为您的系统键入新密码。

于 2012-12-11T10:28:12.487 回答