问题标签 [password-recovery]

我将 ASP.NET PasswordRecovery 控件与标准成员资格提供程序结合使用。被锁定的用户收到令人困惑的错误消息

我们无法访问您的信息。请再试一次。

我想更改此消息，但找不到任何方法。属性 XXXFailureText 尤其是 GeneralFailureText 包含多个字符串。似乎有一个隐藏文本用于这种特殊类型的错误，我无法使用属性进行更改。

我正在设计和开发“重置密码”表单，其中用户提供用户名/电子邮件地址，以便应用程序将在电子邮件中发送一个链接供用户单击并输入新密码。我的兴趣全在于那个链接，我应该如何继续做这些工作（我不是在寻找基于意见的答案，而是基于行业实践，适用于您的应用程序的步骤）。

• 确保链接未启用书签（不允许他使用相同的链接重置密码）

• 如果链接中还包含过期信息，点击过期链接怎么办

您还可以通过提供当前执行计划可能遇到的其他问题来帮助我。

我们有一个系统部署在无法保证互联网访问的远程位置，系统的一部分需要密码，但是用户可能会忘记密码并要求恢复选项。

我正在尝试创建一个允许我生成恢复密码的工具，密码需要对系统是唯一的（系统可以提供唯一的数字标识符）并且对时间敏感。

理想情况下，系统将以这种方式工作：用户致电支持并提供他的系统标识符。支持在恢复工具中输入他的标识符并取回在该小时/天有效的密码。当用户在他的系统中输入生成的密码时，系统将允许访问。

我想远程系统必须以相同的方法生成密码，以与支持提供的密码进行比较，这可能会带来安全风险，代码需要进行一些逆向工程校对。我正在寻找 C# 解决方案，但欢迎使用其他方法。

This question may be a little abstract, but I was wondering what the best/standard method for implementing password recovery is. I am trying to implement it in my code right now but the method I'm starting to use seems a little roundabout / confusing and I wanted to know what the "Rails way" to do this is. Any suggestions?

我目前正在处理我的网站的管理页面，现在我已经开始研究用户在忘记原始密码时如何检索或获得密码。

我以前没有处理过这样的事情，我不确定使用哪种解决方案，因为似乎有很多方法可以处理这个问题。所以我想我会问更有经验的开发人员。处理“密码检索”的最佳方法是什么

如果有帮助，当用户最初注册时，他们必须提供电子邮件地址和密码，然后使用盐进行加密。

我想知道是否有人可以帮助我。

我一直在对“密码重置”过程进行大量研究，并且从我发现的一个教程中，我能够将以下代码放在一起提供此功能。

忘记密码

重设密码

我现在想添加我发送给用户的链接的定时到期。我一直在查看 Stackoverflow 社区和许多其他人的帖子，但我一直无法找到我一直在寻找的内容。

我只是想知道是否有人可以帮助我，并给我一些关于如何实现这一点的指导。

非常感谢。

我必须将密码更改为其他密码，我已获得所有详细信息，例如userid, username, encrypted password, password format。

如何在 asp.net 成员中通过 SQL 更改密码？

我正在尝试在我的应用程序中实现Railscast #274 ，以便提供密码重置选项。我已经到了可以将我的电子邮件输入到密码重置表单中并收到一封带有重置密码链接的电子邮件的地步。当我输入新密码并尝试保存时，事情开始出错。我最终得到了一个Action Controller:Exception caught. 以下是我给自己发送了一封包含密码重置链接的电子邮件后的日志：

单击密码重置链接：

添加新的 :password 和 :password_confirmation 会产生错误：

在profiles_controller.rb:41 中show：

在这样做之前，我转储了我的数据库，运行了rake:db create，然后rake:db migrate重新播种了数据库。这可能是因为我没有运行脚本来为现有用户提供密码重置令牌吗？

更新：包括password_resets_controller.rb：

类 PasswordResetsController < ApplicationController def new end

是的，有趣的标题无论如何在系统中的用户帐户由于密码尝试失败或密码回答尝试失败而被锁定后，解锁过程应该如何开始。您会选择以下 3 个中的哪一个，为什么？目前关注1并且用户有时讨厌该系统 :(

1. 用户必须请求password reset唯一的出路。
2. 用户可以请求发送电子邮件至unlock account link- 使用旧密码成功登录后（但主要是因为他们无法登录 doh 而登陆这里）
3. 我会把这个选项留给你建议。

根据专家的说法，以上可能是我得到的最愚蠢的选择，但我是来学习的。所以告诉我正确的道路。谢谢所以

我正在开发一种强大的算法来安全地重置密码并寻找用户社区的反馈。到目前为止，这是我想出的（在What is best practice for activation/registration/password-reset links in emails with nonce 的帮助下）

密码重置过程如下：当用户请求“通过电子邮件将重置密码链接发送给他们”时......

1. 生成 $盐
2. 提示用户输入他们希望将“重置密码”链接发送到的 $email 地址。
3. 检索 $key（=秘密的用户预定义敏感帐户数据，只有他们知道，例如他们出生的城市或 SSN#Last4）
4. 创建 $ nonce = hash($email . $key)
5. 保存到表格：
   • $nonce (PK)
   • $盐
   • $exp_date
6. 创建 $hash =hash($salt . $email . $key)
7. 通过电子邮件向用户发送重置密码的链接@ URL=...?hash=$hash

当用户点击我们发送给他们的链接时，它会将他们带到一个表单中：

• 输入$电子邮件
• 输入 $newPassword
• 确认 $newPassword
• 提示输入关键字段... 即：“输入您出生的城市：”输入 $key

当用户提交此表单时...

1. 从 URL 中检索 $hash
2. 重新创建 $nonce = hash($email . $key)
3. 使用 $nonce 从我们的表中检索 $salt（如果未过期）。
4. 如果 hash($salt . $email . $key) == $hash from URL，那么验证是 GOOD!，所以我们... 更新数据库中的用户密码
5. 否则，我们拒绝更改密码的尝试

笔记：

• 所有 $email 和 $key 响应在处理之前都被修剪和小写以避免混淆。
• 定期维护任务 sproc 应定期删除所有过期的 nonce 以保持表清洁

你怎么看？