5
如果他們永不過期會有什麼大問題嗎?爲什麼我們要讓帳戶激活/密碼重置鏈接在一段時間後過期?
有人忘記了他的密碼並要求重置他的密碼,一封帶有密碼重置鏈接的電子郵件發送給他。
然後他突然記起他的密碼,所以他只是忽略密碼重置電子郵件。但幾天後,他又一次忘了。由於他的郵箱中已經有密碼重置電子郵件,他只需點擊該鏈接即可返回網站重置密碼。
這似乎沒問題,那麼爲什麼我們要讓帳戶激活/密碼重置鏈接在一段時間後過期?
A
回答
7
如果他們的電子郵件帳戶被盜用會怎麼樣。攻擊者隨後會看到所有這些「密碼重置」鏈接,並通過點擊進一步損害更多帳戶。其中可能會使用真錢或信用卡信息的服務。
+6
如果他的電子郵件帳戶遭到入侵併且攻擊者看到該電子郵件,即使該鏈接不是永久鏈接並且已經過期,他仍然可以訪問該網站並請求密碼重置電子郵件,因此攻擊者仍然可以妥協帳戶。 – bobo 2010-12-23 08:58:56
相關問題
- 1. 在Wordpress上註冊帳戶後沒有發送激活鏈接
- 2. 創建密碼重置鏈接,在PHP中過期24小時
- 3. 爲什麼在激活SSL後WordPress圖片鏈接不出現?
- 4. 如何創建一個鏈接,讓用戶在設計時簽入時重置他們的密碼?
- 5. 密碼重置鏈接有效日期
- 6. 重置Meteor帳戶密碼後禁用登錄 - 密碼
- 7. 在時間段內激活
- 8. 註冊後激活用戶帳戶
- 9. 爲什麼我在嘗試通過POP3連接時收到一些Hotmail帳戶的無效密碼?
- 10. 爲什麼Django註冊使用「激活窗口」來激活帳戶?
- 11. 帳戶激活PHP
- 12. 讓文件加密讓我們知道客戶端軟件被激活了嗎?
- 13. 當我們激活它時,爲什麼Word沒有出現?
- 14. 是否需要手動激活和密碼重置頁面?
- 15. 檢查用戶是否通過電子郵件激活了他們的帳戶,並在點擊激活鏈接後顯示消息PHP/JavaScript
- 16. IdentityServer:帳戶激活後登錄
- 17. 未激活帳戶的HTTP狀態碼?
- 18. Shopify創建用戶帳戶需要激活有時
- 19. 如何讓用戶通過設計確認電子郵件鏈接本地激活帳戶
- 20. 帳戶激活後需要自動登錄嗎?
- 21. 如何激活AdSense帳戶?
- 22. PHP帳戶激活邏輯
- 23. Authlogic帳戶激活軌道
- 24. 激活和停用帳戶
- 25. PHP帳戶激活問題
- 26. 如何設置django註冊帳戶需要手動激活?
- 27. 過程激活時間
- 28. 爲什麼手機在重新啓動後需要密碼,甚至不設置?
- 29. 密碼重置令牌的過期時間
- 30. 我爲什麼要在'忘記密碼'頁面上使用過期令牌?
這是其中過期(涉及安全和隱私問題)的潛在優勢超過缺點的情況之一(在您的示例中,用戶不必返回並請求其他密碼重置)。除非你有充分的理由*不要*,否則請遵守標準。 – 2010-12-23 04:32:27