问题标签 [password-recovery]

我有一个新的 asp.net 4.0 网站。我添加了密码恢复控件。我进入忘记密码页面，输入我的电子邮件地址，我会收到一封包含新密码的电子邮件。问题是，新密码不起作用！我进入登录页面，输入我的电子邮件地址和我尝试复制和粘贴的新密码，并且非常小心地手动输入密码，小心输入大小写。我刚刚收到消息“您的登录尝试不成功。请重试”。事件日志中没有任何内容。

有任何想法吗？

我已经粘贴了下面的页面代码：

我有一个 asp.net 4.0 网站，我正在使用 PasswordRecovery 控件来获取忘记密码的表单。当我在本地运行该站点时，它工作正常，发送电子邮件。但是，当我从我的 vps 运行该站点时，我在尝试发送电子邮件时收到一条错误消息。服务器的事件日志中没有任何内容。

我的 PasswordRecovery aspx 代码如下：

我的 web.config 邮件设置如下：

我现在已经针对 SQL Server Express 实例运行 SQL Profiler，结果发现 SQL Server 在调用dbo.aspnet_Membership_GetUserByName. 存在类型转换问题，因为 PasswordRecovery 传递的DateTime参数包含 7 个小数位的秒数。如果我手动执行小数点后 3 位的存储过程，那么它可以工作。有谁知道为什么DateTime我的服务器上的参数精度与笔记本电脑上的不同？

电子邮件重置密码密钥到期的标准是什么？

我的应用程序生成一个 30 个字符的字母数字密钥，该密钥附加到 URL： http ://site.com/reset/keygoeshere

用户重置密码后，该密钥将从用户帐户中删除。

这个问题谈到了过期密钥，但另一位用户提到，如果电子邮件帐户被盗用，那么他们显然可以轻松请求新的重置密钥。

我想这种方法的主要潜在漏洞是有人可能会尝试暴力破解重置密钥，虽然他不知道密钥属于哪个帐户，但他仍然可以更改某人的密码。

例如，我刚刚点击了 3 天前从 Facebook 发送的重置链接，它仍然有效。

就标准做法而言，密码重置密钥是否必须到期？如果是这样，我们应该让密钥保持“新鲜”多久？

我得到了一个相当古老的桌面应用程序，它可能是用 Delphi C++ Builder 编写的，带有一个嵌入式 AbsoluteDB。

我需要使用 Swing 或 Flex/Air 创建一个新版本，但在此之前我需要检查数据库的确切架构。

不幸的是，数据库受密码保护。编写这个应用程序的程序员很久以前就离开了公司。

有没有办法恢复这个密码？

问题：-表包括CompanyID：，，，，，CompanyNameCompanyPwdCompanyLogoEmail

我需要ForgotYourPassword Code：

使用 Vb.net 向公司电子邮件发送电子邮件。

Reset password failed: A Super Administrator can't request a password reminder. Please contact another Super Administrator or use an alternative method.

the above error message appeared when i tried to reset a normal user password in the frontend page. I confirmed that the user isn't a super admin or admin for my joomla 1.7 site, the user is just a normal register user.

thx in advanced!

我正在使用带有 Rails 的 Devise 身份验证 gem。

如何显示来自 devise.en.yml 的消息：

在发送密码恢复电子邮件后，而不是被重定向到站点的根目录？

更新：

我在 devise_controller.rb 中发现了一段有趣的代码：

设置断点表明正在调用正确的行，:send_instructions分配给notice， set_flash_message 被调用，但是我看不到这一切的结果，因为我立即被重定向到根路径。

在 Rails 中设计身份验证 gem。

如何防止“忘记密码”链接更改密码后自动登录？

理想情况下，最好显示带有“新密码已保存”消息的页面。

进行密码重置的“完成”方式似乎如下：

1. 生成临时令牌 ( zs8Abn27)
2. 将令牌与到期时间一起存储在数据库中
3. 向用户发送电子邮件令牌
4. 用户前往/password_reset?t=zs8Abn27
5. 根据数据库检查令牌的有效性
6. 如果有效用户获得存储在您的数据库中的新密码（当然是加盐和 bcrypted）

我的问题是，如果黑客获得对您的数据库的读/写访问权限，他们是不是只能创建自己的令牌并以这种方式获得访问权限？即使他们只有读取权限，他们也可以使用他们可以看到的令牌来获得临时访问权限。

为了记录，这完全是概念性的，我只是好奇如何使这样的功能安全。

我有一种情况，我需要在 SQL Server 2008（不是 R2，只是普通 2008）中确定数据库用户的密码。它是本机 SQL Server 帐户，没有为其分配密码限制/策略。我已经对 SQL Server 拥有完整的系统管理员访问权限；在正常情况下，我只需将此用户（不是sa用户）的密码重置为已知值，但是该帐户按原样用于各种进程，并且无法更改；不幸的是，现有的密码没有记录在任何地方，也没有人知道它是什么。

我在 SQL Server 2000 和 SQL Server 2005 中找到了许多不同的方法来执行此操作，但它们似乎都不能在 SQL Server 2008 中工作。请注意，用户确实处于活动状态，实际上它的凭据实际上保存在SQL Server Management Studio，我可以在其中使用我需要获取其密码的 SQL Server 用户登录——因此，我知道该帐户是好的。我只需要找出密码是什么！:P

非常感谢！