Вопросы Теги

Сброс пароля путем пользования электронной почтой временных паролей

  • Python, логичный or: A or B: возвраты A, если bool(A) True, иначе возвращаются B
  • Python, логичный and: A and B: возвраты A, если bool(A) False, иначе возвращаются B

Для хранения большей части того образа мыслей, мой логический xor definintion был бы: 

def logical_xor(a, b):
    if bool(a) == bool(b):
        return False
    else:
        return a or b

Тот путь это может возвратиться a, b, или False: 

>>> logical_xor('this', 'that')
False
>>> logical_xor('', '')
False
>>> logical_xor('this', '')
'this'
>>> logical_xor('', 'that')
'that'
11
задан gnavi 20 August 2009 в 15:23
поделиться

4 ответа

В обоих случаях личная информация (временный пароль или ссылка для сброса) передается по одному и тому же носителю. С этой точки зрения разницы в безопасности нет. Тем не менее, сбросить ссылку как несколько преимуществ: Вы заставляете пользователя выбрать новый пароль. Как только он это сделает, ссылка станет недействительной и ею нельзя будет злоупотреблять. Временные пароли, напротив, обычно не такие временные, как вам хотелось бы. Даже если вы заставите пользователя выбрать новый пароль при следующем входе в систему, он, скорее всего, снова введет временный.

Кроме того, вы можете зарегистрировать IP того, кто использует ссылку сброса, так что имейте хоть что-нибудь в случае необходимости передать властям.

9
ответ дан 3 December 2019 в 05:13
поделиться

Есть ли какие-либо существенные причины безопасности, чтобы предпочесть один метод лучше другого?

Да. Если вы пойдете по маршруту временного пароля, то любой может раздражать пользователя, постоянно нажимая ссылку сброса и вводя адрес электронной почты этого пользователя. Если вы используете ссылки для сброса пароля, пользователь может просто проигнорировать их и удалить электронные письма.

9
ответ дан 3 December 2019 в 05:13
поделиться

Существует множество более безопасных способов сбросить пароль. Все они очень неудобны для пользователей и дороги в обслуживании. Если каждый пользователь отправит вам образец ДНК и отпечатки пальцев, а затем потребует, чтобы они явились лично для проверки, это поможет вашей безопасности. Я удивлен, что ваша совершенно секретная организация позволяет вам получать советы по безопасности stackoverflow. Помимо шуток, насколько безопасным должно быть ваше приложение? Действительно ли злоумышленники сбрасывают пароли ваших пользователей, а затем получают доступ к их электронной почте?

XKCD всегда говорит это лучше всего http://xkcd.com/538/

0
ответ дан 3 December 2019 в 05:13
поделиться

Нет лучшего способа для широкой публики. Если это внутреннее приложение, вы, вероятно, могли бы отправлять зашифрованные электронные письма, которые пользователи должны декодировать с помощью PGP, но это никогда не сработает для внешних пользователей, если у вас нет очень дорогостоящего, нишевого продукта.

Если электронная почта -mail отсутствует, вам придется использовать что-то вроде контрольных вопросов, но у них есть свои (более существенные, на мой взгляд) проблемы. Проблемы включают:

  • Предположительно. Такие вопросы, как «любимый цвет», довольно легко угадывают из распространенных вариантов, таких как «красный», «синий», «зеленый» и т. Д.
  • Найти. Многие вещи находятся вне профиля Facebook / MySpace / Twitter / Flickr или иным образом доступны в Google.
  • Забыть. Я выбрал "любимое место отдыха" а затем год или два спустя я не мог вспомнить, что я выбрал.
  • Трудно разобрать. Если я наберу «Сент-Пол» в качестве названия города, но позже вернусь с «Сент-Пол», будет ли это принято?
4
ответ дан 3 December 2019 в 05:13
поделиться
Другие вопросы по тегам:

Похожие вопросы: