问题标签 [forgot-password]

不幸的是，我们被要求让我们的用户能够在他们忘记密码的情况下将电子邮件发送到他们的注册帐户、密码……。

“如果您忘记了密码，请单击此处”

所以 - 这意味着我需要能够解密密码。我不喜欢它，但这就是要求。我习惯于使用 SALT 并使用 SHA1 对密码进行哈希处理。然后将盐和散列密码存储到存储库中。

如果我想存储现在可以解密的密码，我不确定我应该做什么。它或多或少相同，但我应该改用 AES 吗？

希望得到一些帮助（最好是 .NET 中的代码示例）。

干杯!

注意：请不要将此线程变成关于哈希、解密和 OpenAuth 的主题。

实施 REST 调用以发送密码的最佳实践是什么。我的意思是将此作为资源的最佳实践是什么？

/用户/忘记密码

然后在电子邮件地址中发布以将其发送到？

对我来说，这似乎有点不安......想法。

有点愚蠢的问题，但很好奇人们要说什么。

谢谢！

我想知道是否有人曾经使用、构建或看到过完全在线且不需要发送某种密码重置电子邮件的密码恢复工具。

我理解安全问题，并且我完全接受这样的想法，即这不是一种安全的处理方式，但我的雇主已委托我研究这种类型的解决方案。我觉得我以前用过这样的东西。

我们主要关心的是电子邮件垃圾邮件过滤器抓取丢失的密码电子邮件。如果有格式化这些电子邮件的最佳实践，那也将是一件很棒的事情。

有什么想法吗？

谢谢

克雷格

假设您为您的 web 应用程序创建了一个密码重置系统。系统需要用户名或电子邮件才能将重置链接发送到帐户的电子邮件。

考虑这些相互矛盾的要求：

• Cracker A 输入系统的表单潜在用户名（或电子邮件），以尝试发现系统中当前的匹配项。

理想情况下，系统既不确认也不否认现有用户名和电子邮件的存在，对任何一种情况都提供完全相同的反馈，以防止泄露匹配项。

• 用户 B 尝试重置他们的密码，但拼写错误，或者更糟的是，错误记住了他们的用户名，以至于它与文件中的任何帐户都不匹配。因此，他们的重置请求将永远不会得到满足。

理想情况下，他们的错误会在他们请求重置后几秒钟内向他们清楚地表明，并带有友好的消息，例如“对不起，我们没有这样的用户名（或电子邮件）存档。您可以尝试检查您的拼写，或继续并创建一个新帐户。” 否则，他们可能会检查他们的电子邮件，一无所获，等待，一无所获，再次重置，一无所获，（因为没有可发送的匹配项）也许将他们的业务转移到其他地方？如果你幸运的话，打电话给客户服务？

有什么方法可以解决这些相互冲突的目标？

编辑：

考虑清楚问题后，我正在考虑解决问题的一种方法可能是仅使用电子邮件地址，如果系统中不存在该电子邮件，则发送“该帐户不存在，这是一个链接创建一个新帐户”到电子邮件而不是重置链接。

这样一来，用户总是会得到通知，而破解者只能将电子邮件发送到他们已经有权访问的帐户，这对他们没有用处。

说得通？这种方法有问题吗？

我正在为一个面向大学的网站设计一个网站，并且在设计“忘记登录”序列背后的业务逻辑时遇到了一些麻烦。
用户是通过他们的大学电子邮件注册的，因此如果他们忘记了密码，他们可以将其通过电子邮件发送到他们的大学电子邮件。但是问题是，当用户不再拥有此电子邮件并尝试登录时，他们可以在大学毕业后返回。如果他们忘记了密码，则无法通过电子邮件发送，因为他们不再拥有此电子邮件。

我的老板希望我实施一个系统来询问一些识别问题，例如名字/姓氏、出生日期和他们在初次登录时回答的“最喜欢的”问题。这对我来说似乎真的很糟糕，因为 1）这是“希望如此”的安全性和 2）该网站包含非常个人信息

有没有人对此有任何想法或更好的实现？我考虑过的一件事是要求他们在初始注册时提供第二封电子邮件，但我想知道还有什么。我是否准确地畏缩了所需的安全实施？

谢谢

所以我有一个本地副本 prestashop (~Sites/shop) 和我的 /etc/hosts 设置，以便“localhost/shop”让我在它上面进行开发。我准备将它推送到服务器，它的临时位置是（http://66.206.84.189/~walnutci/shop）。它不是一个完整的网站，只是商店的子页面。主站点内容需要是静态的，因此我需要将其包含在“商店”文件夹中。

我把它涂上焦油，把它移到我的 /shop 子文件夹中，创建一个与我的本地副本同名的空数据库，并使用相同的用户名和权限，导入数据库（所以我不应该弄乱 config/settings .inc.php) 和...

主页将我重定向到 localhost/shop，我的本地副本。因此，我尝试登录以在 Preferences > SEO&URL 中更改它，并且http://66.206.84.189...hop/adminfolder正确地将我转发到后端登录。但是，它不会占用我的管理员电子邮件和密码。相同的数据库！=相同的凭据？我更新了它

和zilch。我点击 Enter 刷新页面，忽略我的输入。该 URL 显示我尝试登录的电子邮件地址，但没有红色错误。如果我为密码输入垃圾，则会引发正确的错误“密码错误”。我的密码，并在数据库中手动更新它在本地工作正常。

那么，我手动更新我的管理员密码是否错误？我可以以某种方式对站点 URL 进行硬编码吗？我认为通过保持文件夹名称相同并使用我的 Apache /etc/hosts 我不会遇到任何重定向错误（友好 URL 已关闭，因此任何地方都没有 .htaccess）。

运行 1.4.6.2。Mac OSX 10.7.2 本地，服务器是 CentOS 5.7。

太感谢了。不久前我向 Prestashop 发了一个帖子，周末一直在看，但仍然没有弄清楚。欣赏任何想法/见解。

我正在使用 EZ Publish CMS：

目前正在发生的事情：

1. 在忘记密码页面，用户输入他们用于注册的电子邮件地址并提交

2. 用户收到一封带有密码生成链接的电子邮件，该链接使用哈希来确认他们的身份。

3. 用户收到一封带有新生成密码的电子邮件

4. 用户使用他们电子邮件中的链接返回站点，该链接将他们带到一个表单，该表单要求输入旧密码（刚刚生成并已发送到他们的电子邮件）并让他们输入新密码。

我想要发生的事情：

1. 在“忘记密码”页面，用户输入他们用于注册的电子邮件地址并提交

2. 用户收到一封电子邮件，其中包含指向“输入新密码”表单的链接

3. 在“输入新密码”表单中，用户不需要输入旧密码，因为身份已经通过哈希确认，因此只需输入新密码。

我正在使用具有原始 4 步过程的 EZMBPAEX 扩展。似乎没有任何关于删除“向用户发送电子邮件新密码”步骤的文档或讨论，但我的客户有一个非常严格的电子邮件政策不发送密码，所以我无法对此做出调整。

有谁知道我在哪里可以找到有关如何编辑此功能的文档？

我认为需要编辑的文件位于：
/extension/ezmbpaex/modules/userpaex/forgotpassword.php

我在安装 apache、mysql 等时设置了密码，现在我忘记了。我怎样才能改变它？也许创建一个新帐户？我只需要访问数据库。

编辑：我在 ubuntu 上使用它

编辑：我也可以采用破坏性的方式。即卸载everyting，然后重新安装所有东西，但这也是询问密码，我不想重新安装整个操作系统。:(

我有一组 hsqldb 格式的数据库文件（即.data和.properties文件.script），但管理它们的人以前退出并且没有留下任何凭据。当我尝试使用任何方式连接到数据库以访问独立的基于文件的数据库（例如 SqlTool 或 DatabaseManager）时，传递默认的“sa”用户和默认的空密码，我得到类似的东西：

有没有办法轻松绕过整个 hsqldb 身份验证和授权方案，只需重置“sa”用户的全部权限？我已经挖掘了整个 hsqldb 文档并通过 Google 进行了一些研究，但我找不到任何方法来绕过它？

或者如果没有暴力破解是完全不可能的（即文件实际上是用给定的密码加密的）？这个问题提到密码存储在.script文件中，但看起来我使用命令设置COMPRESSED或BINARY格式化（我无法用肉眼分辨哪一个） ，尽管我在文件SET SCRIPTFORMAT中看到原始的实时字符串数据.data. 是否可以解密 BINARY 格式？

我想知道是否有一种方法可以调用“忘记密码”程序而不强制我的用户注销

我遇到的情况是： 1. 用户使用 facebook 登录，为他们生成假密码 2. 然后用户想要更改他们的电子邮件/姓名/密码，或者只是使用非 facebook 登录

由于设计需要密码来更改这些字段，因此用户无法修改它们

我曾考虑过不强制设置密码，但这在安全方面没有意义，所以我只是将字段显示为文本并通知用户按照“忘记密码”程序设置密码，然后他们可以更改字段

那么问题是我不能简单地从用户配置文件链接到这个，因为设计会告诉用户他们在已经登录时不能这样做。

那么是否有一种方法可以覆盖忘记密码或 /users/password/edit 方法，以便登录用户也可以执行此操作？