Я добавляю функцию «изменить пароль» в свою веб-игру http://ninjawars.net , которая в настоящее время имеет исправлены (и, по сути, никогда не меняются) пароли.
Я хочу избежать беспорядка, поэтому я хотел бы убедиться, что у меня есть базовые основы безопасности.
Взять то, что я могу извлечь из Facebook. При выполнении действий следует помнить несколько ключевых моментов:
Это только политики, которые я могу почерпнуть из внешнего пользовательского интерфейса системы учетных записей facebook. Какие еще вопросы безопасности следует учитывать при предоставлении системы «смены пароля»?
Изменить: В моем конкретном случае я намерен быть относительно снисходительным с [вставьте различные критерии] для того, какие символы должны будут входить в сам пароль. Мой сайт не является банком. Если игрок хочет использовать пароль «password1», он должен ожидать, что его учетная запись перейдет к своим друзьям. МОЯ ФОКУС , с другой стороны, заключается в том, чтобы убедиться, что мой сайт предотвращает любые возможности «враждебного захвата» через любую небезопасность в самой системе смены паролей .
Дополнительные положительные моменты из ответов ниже: