这是场景:
黑客劫持了我网站上用户的帐户。黑客更改密码。我的网站向用户的联系人电子邮件地址发送一封电子邮件,其中包含一个链接,其中包含一个带有哈希值的 URL,用于重置密码。然后,黑客在第二天更改了用户的联系电子邮件地址。然后,我的网站会向新旧电子邮件地址发送一封电子邮件。
这里的大多数答案都说恢复哈希应该在一个小时内有效。但是,如果用户不在家并且直到哈希过期一周后才收到电子邮件怎么办?用户的密码已更改,也无法收到新的辅助邮箱。用户现在已经丢失了帐户并且无法恢复它。哈希不应该在一两个星期内保持有效,还是直到它被使用?
如果黑客知道这种机制在大多数网站上的工作原理,声称忘记了密码并请求一个新密码,会发生什么情况。站点是否应该生成一个新的散列来替换旧的散列,从而使真实用户的重置散列无效?还是该站点不应该更改散列,并再次发送相同的散列?但是现在,真实用户和黑客都有哈希来重置密码?
我很困惑......也许这个问题没有完美的解决方案......
还有什么技巧?我个人不喜欢“秘密问题”,因为它们通常会提供一个后门来侵入某人的帐户。当网站需要我提供它们时,我会输入胡言乱语作为答案。
顺便说一句,我知道有类似的问题,我宁愿在对现有问题的评论中要求澄清,而不是提出一个新问题,但我没有足够高的声誉来向其他人添加评论问题。