1
我在爲我的網站添加密碼重置功能,並且一直在瀏覽討論這個問題的各個方面的衆多主題。我還沒有真正看到的一件事是,在發送重置電子郵件之前,用戶需要多少信息進行確認。授予密碼重置需要多少用戶數據?
- 是否足夠單獨使用電子郵件?
- 電子郵件+帳戶用戶名?
- 電子郵件+帳戶用戶名+所有帳戶必須輸入的其他標識值?
我不希望我的網站看起來像一個帶有尺子的舊皺紋尼姑,但我不希望人們能夠濫用密碼重置系統,無所畏懼。
對此提出建議?
A
回答
1
首先關心的應該是安全性。如果另一個人獲得用戶密碼,會有多糟糕?如果這是不可接受的,我會說Babiker說的 - 電子郵件和某種安全問題,最好是網站和用戶之間永遠不會通信的東西,除了註冊過程或用戶的安全設置編輯。這裏的假設是用戶的電子郵件帳戶已被泄露。
如果安全性不是很大,也就是說沒有涉及真正的隱私/金融/等風險,我認爲電子郵件就足夠了。爲了儘量減少滋擾風險,您可以按照克里的建議 - 即不自動重置密碼,但提供驗證鏈接。此外,您可能希望對特定用戶可以使用該功能的頻率設置一些限制,以防止某人通過重複輸入電子郵件來填寫收件箱。
+0
限制的好處 - 我想阻止對同一電子郵件的其他請求,直到第一個令牌到期,幷包括網站管理員的聯繫電子郵件,以允許用戶嘗試和解釋情有可原的情況。 – Drew 2010-06-10 05:37:18
3
我只使用電子郵件,並通過鏈接中的激活碼向該人發送電子郵件。該激活碼在2天內過期,一旦使用,它也會失效。
這意味着該人必須有權訪問該電子郵件帳戶才能使用,並且只能使用一次。
使用電子郵件+帳戶用戶名並不罕見,但我的電子郵件是您登錄的內容,沒有用戶名。這個決定取決於你。
我認爲電子郵件是足夠的,沒有它成爲一個滋擾。
0
- 電子郵件
- 其他所有帳戶必須輸入的標識值。 就像一個安全問題。
取決於您的網站是'網上銀行'還是'WoW論壇'?取決於哪些信息可能存在風險 – PostMan 2010-06-10 02:36:12
@PostMan - 如果是網上銀行,人們會希望他們聘請那些不需要問這樣簡單問題的開發人員。 ;-)即使如此,你也說得很好,我應該說明我的網站的相對安全/風險級別+1 – Drew 2010-06-10 05:38:12