只是想拼凑一个简单的脚本,我有一个关于密码的小问题。
无论如何我可以向某人发送一个他们看不到自己但可以用来说更改他们的 Facebook 密码以阻止他们自己登录的随机密码吗?然后,我将在稍后的指定时间向他们发送可见密码。
这纯粹是出于教育目的,因为我只是在这里和那里构建小应用程序来学习 php 和 mysql。
示例:朋友想离开 facebook 3 小时。他使用网络应用程序,我通过电子邮件向他发送一个随机生成的密码,让他更改他当前的 FB 密码。但是,在电子邮件中对他是隐藏的。3 小时后,他收到另一封电子邮件,允许他使用它。
我知道可能有一些更简单/更清晰的方法可以实现我的最终目标,但我只是对此本身感到好奇!
非常感谢
如果您发送的电子邮件包含允许用户登录的“某些东西”,那么您就是在向他们发送密码,如果它可以从电子邮件中点击/复制,他们会看到它。无论密码是直接匹配存储值的纯文本(如“thi$ismyPa$$word”)还是其他加密值,当输入时被解密以匹配存储值是无关紧要的,无论哪种方式,用户都知道那是什么值是(因为他们必须输入它)。为了让用户提供价值,他们必须拥有价值。正如其他人所提到的,您可以在您的应用程序中实现一次性使用密码,但这不适用于 facebook 实现,因为它不是您的应用程序,您无法控制它的功能。简短的回答,
传统的方法是从密码中计算出某种哈希和,然后发送。有一种单向算法,例如 MD5,可以做到这一点。这样,就可以确保与密码的一致性,而不必发送密码本身,或者可以从中推断出密码。
为了获得更高的安全性,可以同时发送哈希和校验和:这样哈希本身就不会被截获并作为密码的代理发送:除非哈希和校验和值一致,否则不会进行身份验证。