问题标签 [password-recovery]

我正在使用密码恢复控制，但出现错误

操作已超时。

web.config 有以下代码：

我已将自动电子邮件的密码恢复控件放到页面上，但它不起作用。

我错过了什么？

使用的工具：VS2010中的asp.net 4

我有一个小型社区网站，我需要实现某种忘记密码的功能。我目前将密码存储在数据库中，使用MD5.

是否可以对“解密”进行排序并通过电子邮件将其发送给用户，还是我需要一个密码重置页面？

我的站点中有一个 PasswordRecovery 控件。

我有自己的自定义类实现 MembershipProvider。

其中一种方法是 GetPassword，以用户名、答案作为参数。

它在用户输入问题的答案时被激活，并且该方法应检查答案是否正确。

据我了解，如果答案不正确，我应该抛出 MembershipPasswordException。

当我在调试模式下通过它时，VS(2005...) 给了我以下运行时错误

用户代码未处理 MembershipPasswordException

但在客户端，似乎一切都按计划进行，用户收到一条错误消息，指出无法验证答案。

那么为什么我会收到这个错误呢？无论如何都可以吗？

我究竟做错了什么？

谢谢

编辑，这是有问题的代码：

我正在使用 Codeigniter 进行开发，并使用与 Amazon 类似的模型进行密码重置：用户单击我通过电子邮件发送的链接，这将进入启动适当视图的控制器。但是，出于安全原因，我需要将一些令牌附加到 uri 的末尾。我在哪里拦截 Codeigniter 中的 uri 以删除令牌？我将不胜感激演示这一点的代码片段。提前谢谢了。

我在一所大学工作，在一个网络驱动的学术管理系统项目中，我目前面临以下问题：

有时应用程序需要发送电子邮件，其中大部分是按需发送的（例如，用户要求提供密码恢复链接）。每天都会发送许多此类服务的电子邮件，如果在访问高峰期，它们会大量发送。这导致我们的电子邮件服务器被包含在常见电子邮件提供商（如 yahoo 和 hotmail）的黑名单中，从而导致电子邮件发送失败。

此类问题的常见原因是什么？是否可以避免这些黑名单？或者至少有什么好的做法可以遵循，这样我就可以将这些有用的电子邮件“标记”为非垃圾邮件或安全电子邮件？

谢谢阅读。

假设您为您的 web 应用程序创建了一个密码重置系统。系统需要用户名或电子邮件才能将重置链接发送到帐户的电子邮件。

考虑这些相互矛盾的要求：

• Cracker A 输入系统的表单潜在用户名（或电子邮件），以尝试发现系统中当前的匹配项。

理想情况下，系统既不确认也不否认现有用户名和电子邮件的存在，对任何一种情况都提供完全相同的反馈，以防止泄露匹配项。

• 用户 B 尝试重置他们的密码，但拼写错误，或者更糟的是，错误记住了他们的用户名，以至于它与文件中的任何帐户都不匹配。因此，他们的重置请求将永远不会得到满足。

理想情况下，他们的错误会在他们请求重置后几秒钟内向他们清楚地表明，并带有友好的消息，例如“对不起，我们没有这样的用户名（或电子邮件）存档。您可以尝试检查您的拼写，或继续并创建一个新帐户。” 否则，他们可能会检查他们的电子邮件，一无所获，等待，一无所获，再次重置，一无所获，（因为没有可发送的匹配项）也许将他们的业务转移到其他地方？如果你幸运的话，打电话给客户服务？

有什么方法可以解决这些相互冲突的目标？

编辑：

考虑清楚问题后，我正在考虑解决问题的一种方法可能是仅使用电子邮件地址，如果系统中不存在该电子邮件，则发送“该帐户不存在，这是一个链接创建一个新帐户”到电子邮件而不是重置链接。

这样一来，用户总是会得到通知，而破解者只能将电子邮件发送到他们已经有权访问的帐户，这对他们没有用处。

说得通？这种方法有问题吗？

在我进行更新后，当我不得不进行恢复时，我丢失了我 iPhone 中的所有照片和联系人。当试图从备份文件中恢复我的旧数据时，它提示我输入密码。我已经尝试了我通常使用的所有密码，但无济于事。

我已经尝试过像 Elcomsofts 密码破解器这样的程序。问题是它们只允许您搜索字典中的单词或您告诉它的字母/数字。但是你不能（至少我没有发现）创建某种正则表达式来限制搜索。

我很确定我知道丢失密码的结构 = 单词和随机字母/数字的组合。所以我认为正则表达式可以使获取密码变得现实。所以这就是我转向你的原因。

我正在尝试在 .NET、C# 中创建一个简单的程序。一个控制台应用程序，或一个基本的 MVC 应用程序。一个应用程序，我将循环遍历我的正则表达式提出的所有组合。那部分我想我知道该怎么做。问题是：

如何使用密码测试备份文件/文件夹？我尝试使用 Process.Start(filepath) 打开文件，但是当我指向 plist 文件时，它说没有程序可以打开文件。即使我设法用记事本打开文件，我该如何测试密码？是要传入的参数吗？我会得到什么样的回复？我的意思是我怎么知道密码是否匹配？

简而言之：我需要创建一个程序（或找到一个可以工作的程序），它可以遍历一个正则表达式限制的密码列表，并尝试它们是否与我的 iPhone 备份文件中的那个匹配。

很抱歉我的问题很长而且有点不专业。我对此有点陌生。我做过webbprogramming，但没有太多与windows/file相关的编程。您能提供的任何帮助将不胜感激，因为我有点急于获取我女儿的照片和联系信息。

我正在使用带有 Bada OS 的三星 Wave 2。我想知道我是否可以在 Dolfin 浏览器上查看/备份我保存的密码。如果需要，我可以编码。

Essentially a a friend of mine locked himself out of an encrypted container he created. He must have made a typo when entering his password, because he cannot access the container. We know what it is supposed to be, and the actual password is sure to be a variation of this and/or very similar to it. I'm looking for code or a white paper dealing with this notion of "fuzzy" password cracking given a known portion of the password or known pattern that the password follows. The language is unimportant. I've already developed a way to brute force the password prompt, what I need is to develop an algorithm that will let me intelligently attempt to crack it so I don't have to try every possible combination. I would think someone else has already done this, however. I understand the concepts behind this to an extent, but am looking for code or a white paper where someone might have already solved this issue.

UPDATE So I've constructed a dictionary (Python, but feel free to send examples in any language) using characters that might be in the passphrase. Considerations were keystroke proximity on a standard QWERTY keyboard, 1337 speak equivalents, and an accidental '/' character for each letter since it is near the shift key. From there the sample pass phrase is supplied, and each letter is tried. This is following this example: http://code.activestate.com/recipes/535171-password-cracker/

The fictitious 'open-sesame' is a modified utility that mounts this particular type of encrypted volume, it was not written in python but has been made into a command line tool so that this script can interact with it.

A couple of challenges / research directions:

• If the '/' character was accidentally hit instead of the shift key, this would actually add a character to the pass phrase and thus could appear before any of the letters. This needs to be accounted for in the solution.
• It would be nice to integrate this with the spellchecker utility proposed by @rrenaud: http://norvig.com/spell-correct.html
• I'm fascinated by the application of Baye's Theorum of probability statistics which was applied to solve the spellcheck problem; I'm wondering if any research is available on erroneous keystrokes and the probability of hitting certain keys over others when typing certain words and/or phrases. This logic could be applied to password cracking in much the same fashion as the spellcheck utility, which benefits from known lists of common misspellings. I have no erroneous keystroke data with which to "train" a neural net utility.

I appreciate all the great help, I just wanted to share where I'm at so far for everyone's benefit.

如何在 MVC2 应用程序中实现密码重置？

密码使用 ASP .NET 成员资格提供程序进行哈希处理。未使用密码恢复问题。使用具有标准 AccountController 类的标准 ASP .NET MVC2 项目模板。

如果用户忘记密码，应将带有临时链接或新密码的电子邮件发送到用户电子邮件地址。

在哪里可以找到在 MVC 2 C# 中实现此功能的代码？

堆栈溢出包含两个答案，讨论有关实现此问题的方法。没有示例代码。我搜索了“asp .net mvc 密码重置 c# 示例代码下载”，但没有找到示例代码。

我是 MVC 的新手。在哪里可以找到密码恢复的示例代码？这是 VS2010 生成的项目模板中缺少的。

更新

我在 Mono 2.10 中尝试了此代码，但出现异常：

Mono 不支持 CspParameters

在线

如何在 Mono 中运行它？

堆栈跟踪：