重置密碼算法

Question

我想爲那些忘記密碼的用戶（基本上是4位密碼）爲我正在寫的iPhone應用程序實現某種密碼重置功能，但我不想讓它任何用戶都可以簡單地禁用它。我正在考慮進行某種驗證，並想知道這種事情的最佳做法是什麼。

我計劃是這樣的：

1. 用戶聯繫我說，他們已經忘記了自己的密碼，
2. 我通過電子郵件發送一個或多個代碼的順序進入密碼屏幕
3. 該應用程序基於一些祕密算法生成一個數字，用戶發送給我
4. 我發送給他們另一個代碼（由匹配算法生成），他們輸入以刪除密碼

我在想這會讓我只允許用戶重置密碼，只有當他們與我聯繫，我已經驗證了他們是誰。這也應該防止用戶使用該代碼來解鎖具有相同應用的另一個電話。

這似乎是個好主意嗎？是否有任何合適的哈希算法/庫來生成這種兩步驗證代碼（最好是Objective C）？有沒有更好的方法來處理這種事情？

任何幫助或建議將不勝感激。

Answer 1

你應該能夠使用哈希和RSA的組合來解決這個問題。

假設您的私鑰爲（K1），公鑰（K2）隨應用分發。

步驟2：發送一個隨機碼C和用私鑰K1加密C。該應用程序解密加密，並檢查它是否匹配用戶輸入的代碼C

第3步：該應用程序創建一個隨機的4位數字代碼（新密碼P），用公鑰加密併發送給您（或可能它給誰發送給您的用戶）

第4步：您與您的私鑰解密新密碼，並將其發送給用戶