问题标签 [password-recovery]

我使用钩子自定义了注册页面。

Liferay我想在用户第一次登录时设置默认安全问题的注册页面中添加安全问题。

那么如何在首次登录时在注册页面中添加安全问题？

考虑到这篇论文和简单的常识：为什么后者比前者更脆弱？

我的意思是，如果我们有窃听的情况，那么两种情况之间的区别是什么：

• 明文：黑客请求恢复密码，获取密码，获得对帐户的访问权限
• 恢复链接：黑客请求恢复密码，捕获链接，使用它，获得对帐户的访问权限

我知道我们根本不能将密码存储为纯文本，但让我们假设我们无法控制这部分——在这种情况下有什么不同吗？

我正在尝试为密码重置进行验证过程，我使用的是两个值：纪元时间，我想使用用户的旧密码（pbkdf2）作为密钥，

因为我不想获取非 ASCII 字符，所以我使用了 SimpleEncode 库，因为它速度很快，因为它只是一个带有密钥的 BASE64，但问题是密码太长（196 个字符）所以我得到一个长密钥！

我所做的是拆分结果code = simpleencode.encode(key,asci)[::30]，但这不会是唯一的！

为了了解它是如何工作的，我尝试了 Facebook 重置过程，但给出的是一个数字！那么这个过程是如何工作的，他们不是使用密钥来使某人难以伪造链接来重置某人的密码吗？

更新：算法将如何工作：

1- 使用 epoch 获取时间time.time()

2-生成纪元时间的Base64（用于URL）和纪元时间值+一个密钥，这个密钥是PBKDF2（密码）。

3-生成网址 www.example.com/reset/user/Base64(time.time()) 并发送此网址 +simpleencode.encode(key,asci)[::30]

4-当用户点击网址时，他把生成的代码，这个生成的代码，如果与网址匹配，则让他修改密码，否则，这是一个忘记网址！

嗨，我想知道 Windows 在读取它之前如何对注册表值执行完整性检查。

当我在 Windows 注册表中更改缓存的域凭据时，我从以下键 HKEY_LOCAL_MACHINE\SECURITY\CACHE\NL$1 ... NL$10 中获取了这些值。

我已经使用 NL$KM 键值对其进行了解码，并转储了存储的密码哈希。我希望用我自己新生成的哈希来更改哈希。但是 Windows 有点棘手，他们添加了最终校验和验证来验证它，我希望但不确定。因此，当系统未与域连接时，有任何方法可以更改哈希并使系统脱机工作。

这是执行此操作的代码：

对缓存技术进行加密或解密取决于 Windows 操作系统版本

}

生成新的密码哈希：[仅供参考：其可靠]

用新密码哈希替换旧密码哈希并再次加密它们：

将它们全部写回注册表中：[仅供参考：实际上我正在通过系统帐户工作正常]

在测试我们的应用程序期间，观察到如果用户忘记密码，则无法进入应用程序。

发现这一点后，我们实施了如下密码生成技术 1. 使用用户信息创建特定字符串。2. 对字符串应用 SHA1 3. 将 SHA1 哈希的一部分作为密码

上述算法适用于服务器端和设备端。这样他们就不需要有任何交互了。所以如果用户忘记了他的密码，他可以请求服务器。服务器运行上述算法并将生成的密码发送到用户电子邮件。在设备端，使用相同的中音生成相同的密码。因此，当用户输入它时，它匹配并且用户被授予访问权限。

不知何故，我对此并不满意，因为我们使用相同的字符串来生成密码。因此，每次用户忘记密码并生成密码时，他都会得到相同的密码，这不是密码生成器的工作方式。

所以我正在考虑向字符串添加更多内容，这些内容将是可变的，但在服务器端和设备端都是相同的。其中一个选项是使用字符串中的日期，但如果服务器位于不同的时区，设备和服务器将生成不同的密码。

有没有更好的解决方案？请建议...

我需要为丢失密码的用户生成令牌/验证码，但我不能依赖现有的 Joomla 安装，因为 1）它是一个非常旧的 Joomla 安装（1.5.15）和 2）它是一个我的项目的要求。我不能碰任何东西，因为它是第三方工作，但我需要为移动用户（现在是 iOS 和 Android）实现密码恢复系统，并且我需要知道密码恢复系统使用哪种算法。

谁能告诉我它是如何工作的？

我正在使用 ASP.NET 成员资格提供程序。我想在这里设置密码恢复。我正在使用 Visual Studio 2012 中默认的 IIS Express。但看起来 IIS Express 不支持 SMTP，因为它在这里得到了回答。

那么我有哪些选择来设置密码恢复呢？

Chris Spicer 在一个旧论坛中提到 VbaDiff 可用于在 VBA excel 中检索密码，但他没有说明如何？我完全迷失了 HEX 选项，我更愿意使用 Chris 的推荐，但有人能告诉我怎么做吗？

最热烈的问候，如果过去已经回答，我深表歉意，我找不到任何东西。

据我所知，有两种合理的方法可以重置用户忘记的密码。

1. 让用户输入他们的电子邮件地址，并将新的明文密码发送到他们的电子邮件地址。

2. 一个链接会发送到他们的电子邮件地址，该地址在 URL 中有一个 UID 号。单击此按钮会将用户带到网站上的表单，他们可以在其中选择自己的新密码。

哪种方法更可取，为什么？

如果使用方法一，也许第三方可以阅读电子邮件并获得新密码。如果使用方法 2，如何阻止有人有条不紊地通过 UID 代码尝试访问表单以更改用户密码？

在 7-zip 没有“确认密码”字段的日子里，我的密码打错了。所以现在我有一个受密码保护的 7-zip 文件。我编写了一些软件来生成密码最可能的拼写错误（5500 万），并将它们存储在每 25k 的文件中。现在我正在一个接一个地尝试它们。使用 Macbook 上的 unar 命令行工具，我可以在一小时内完成大约 25k pwd。

它有效，但仍然需要 100 天（24/7）才能通过所有 5500 万 pwd。现在我想知道，是否有一些库（c# mono/dotnet）支持解码受密码保护的 7z 文件？

也欢迎任何其他有关解决我的问题的建议。