网站的「密码找回」操作都隐藏着哪些问题?你是如何解决的呢?

  • 时间:
  • 浏览:0
  • 来源:彩神欢乐生肖_神彩欢乐生肖官方

在注册时 绑定的是手机号码, 忘记密码是通过 先填写账号(账号都在电话号码), 发送短信(账号注册的前一天绑定的手机号码) 验证码, 否则跳转到修改密码。

饭娱咖啡 已获得云栖定制电脑包 克隆好友链接去分享

其次在使用或多或少技术保证找回密码的是自己,肯定要通过或多或少土办法来让哪几种技术正确的生效。除理被非法分子利用。

用户凭证暴力破解:你这俩 一般通过3次锁死,有有助于够通过人工原因分析分析 更加僵化 的土办法,等土办法有有助于除理。

Token 信息暴露了用户身份:你这俩 时要设计更加安全性的Token。

找回凭证有效性:不论凭证是预留问题,短信还是邮箱都在验证其有效性,以及实用情況。为了保证正确性有有助于多重验证一齐使用。

还有只是操作的前一天通过各种人机校验技术(CAPTCHA)对操作的对象进行判断,除理使用系统进程运行进行撞库。

1 用户凭证暴力破解:密码设计的是4位或6位的,会被黑客以爆破工具跑数据字典进行破解。

登陆提供安全防护,除理刷库撞库暴力破解、可疑登陆。

限定了修改密码次数和输入旧账号次数

网站的「密码找回」操作都隐藏着哪几种问题?你是如何除理的呢?

自行开发自然问题多多,还是拿来主义比较好,简单方便快捷。互联网和开源软件是开发利器。

一定要做好用户的ID和账号的双重验证,原因分析分析 用手机做验证 手机号在验证的前一天时要做手机与验证码的验证,总之只是验证要双重,严查不可少,我没开发过,但我知道你不做验证你有有助于刷你点东西0.0.

下面正式开始了(继续凑字数)。看,不让克隆好友粘贴有有助于能做到哦。

小龙猪 克隆好友链接去分享

阿里云代金券 x 5

keller.zhou 克隆好友链接去分享

zijiejiang 克隆好友链接去分享

要选则是都在自己操作的,还有比短信验证码更好的土办法吗?手机是贴身携带的东西,见手机如见自己。否则手机短信时效性极好,正所谓天下武功唯快不破。邮件太慢了,否则不方便。

原因分析分析 遇到忘记密码, 旧的手机号码不让的情況, 会让先输入 先绑定的 旧的手机号, 否则新的手机号, 否则输入注册的前一天绑定的第三的账号。否则获取短信验证码 跳转修改密码

像手机验证码、指纹你这俩 ,自己感觉对抗线下的暴力攻击完整版无效,而刷脸你这俩 就很好了,加入对表情、GPS定位及身边事物的检测,非常有有助于于除理问题。

1396823161264178 克隆好友链接去分享

找回密码起初是用邮箱验证的,否则手机卡实名验证后就采用了短信验证。

虚拟号码开放前一天,淘宝商家都在了虚拟号码验证码。

实名手机号开放验证码前一天理论上确认为自己操作。

前一天QQ号码被盗,否则又忘记的验证问题,只好拨打腾讯科技客服。

为了摆脱短信验证的短板,又有了语音验证。只是平台拨打你的手机,语音播报验证码,感觉原先的验证有效性更高。

现在所以验证码为了除理机器人操作,还时要拖动滑块,识图片。限制密码和验证码输入次数,超出自动关闭,有有助于够拨打人工客服。原先增加了用户和平台数据安全性。嘴笨 钉钉微应用的免登陆token做得很好,有一系列的验证环节。

原因分析分析 大家脸识别的应用,找回密码原因分析分析 验证身份更加简单多了,只时要人脸识别一波,每自己的体征数据都在同。

沙漠的热情 克隆好友链接去分享

手机防盗密码不知如何找回?

既这么短信验证,也没相关提示

用户凭证暴力破解:

你这俩 只是同个用户做次数限制了,还是相对简单的。

但有有一有一个问题只是别人恶意操作后,如何不影响真实的用户?

比如判断常用IP或设备,再有只是真实用户能收到提醒,加强安全意识。

Token 信息暴露了用户身份:Token应该是和用户信息完整版无关的吧,有关系语录肯定也要加盐的,除理彩虹表攻击。

追梦心40 克隆好友链接去分享

我嘴笨 使用短信验证码算不算非常好的土办法了。

找回密码你这俩 功能最重要的点只是:

要选则是都在自己操作的

云栖帽衫 x 1

淡而无味 克隆好友链接去分享

沙漠的热情 已获得阿里云代金券 克隆好友链接去分享

....

首先密码找回系统进程运行是和注册及校验模式在一齐的有有一有一个整体,要统筹进行设计。原因分析分析 在用户丢失密码后,能在线上证明(线下是另五种 情況)他是自己的有有助于够通过他在注册及业务办理过程中预留的信息进行校验。

其次在使用或多或少技术保证找回密码的是自己,肯定要通过或多或少土办法来让哪几种技术正确的生效。除理被非法分子利用。

用户凭证暴力破解:你这俩 一般通过3次锁死,有有助于够通过人工原因分析分析 更加僵化 的土办法,等土办法有有助于除理。

Token 信息暴露了用户身份:你这俩 时要设计更加安全性的Token。

找回凭证有效性:不论凭证是预留问题,短信还是邮箱都在验证其有效性,以及实用情況。为了保证正确性有有助于多重验证一齐使用。

还有只是操作的前一天通过各种人机校验技术(CAPTCHA)对操作的对象进行判断,除理使用系统进程运行进行撞库。

嘴笨 密码找回你这俩 业务的流程跟要求五种 就居于有有一有一个安全性与方便性的矛盾。

最安全的做法肯定是让自己持有效证件、证明及办理时的手机来业务办理处进行人工验证。嘴笨 这也只是现在所以银行办理密码修改的要求,不过原因分析分析 太麻烦了,所以一般网站这么做到。所以现在网站一般的密码找回流程都在有有一有一个安全性和方便性妥协的产物,求得在风险与方便之间的有有一有一个平衡点。你这俩 平衡点的位置是与网站业务的类型有关,比如支付宝的实名验证及密码找回就比一般的网站难得多。

当然在新技术不断发展的前一天,也会不断的有新的方便的验证技术出先,找回密码你这俩 业务肯定也会不断的发展,变得更加安全及方便。比如现在的刷脸支付,否则人脸识别及活体检验技术过关,都能直接通过刷脸进行支付及办理业务了,这么又有哪几种有有助于够能用来找回密码呢?

有有助于语录,来个帽衫吧。

aoteman675 已获得阿里云代金券 克隆好友链接去分享

微wx笑 已获得阿里云代金券 克隆好友链接去分享

我的中国 克隆好友链接去分享

原先很简单的东西我们都都 就要搞的这么僵化

作为网络安全从业人员,我有话说。

关于作者提出的第有有一有一个弊端,这五种 只是安全性和易用性之间的有有一有一个矛盾,4位原因分析分析 6位纯数字输入方便,现在一般的做法只是同一ip重复提交多次后就要强制输入验证码,再结合验证码的有效期,假设攻击者采用变换代理的土办法进行分段提交,设计有有一有一个提交上限也是未尝不可的。

第二种情況也很常见,所以众测平台关于登录的逻辑漏洞都在屡见不鲜,不仅仅是重置用户密码,更换令牌原因分析分析 伪造任意用户登录同样有有助于利用,一般来说在逻辑和算法上优化,原先的模糊测试根本只是徒劳无功。

第五种 情況倒是有原因分析分析 居于,笔者的意思是我注册的账户用密码找回获取的短信验证码有有助于一齐利用到或多或少账户重置密码么?首先大家提到了时效性,其次大每项的网站设计都在输入手机号以及比对对应字段关系,你这俩 类型的错误倒是不常见。

重置任意用户密码的案例和利用土办法有所以,原先检测有有一有一个大型医疗企业,输入用户id后在返回表单里隐藏了邮件地址,修改后可重置任意用户密码。当然作为攻击者来说,除了爆破及撞库去获取用户密码外,修改用户密码也是常见攻击土办法之一。

现在的网站和应用在重置密码以及登录上,大多采用发送短信验证码的土办法,假设运营商的短信数据原因分析分析 被获取,这么采用多么僵化 的验证码原因分析分析 设置时效性,都在无法防范的。总之攻防只是对立的,哪怕是生物识别所以用说安全,建立有效的互信体系,才是网络安全的发展前提。

短信认证,设置错误次数,超过次数就禁止继续刷了,短信认证使用前一天就清除,有有助于够重复使用。有能力的情況下有有助于人脸识别、指纹认证哪几种的。修改密码后给手机发送条信息通知密码修改了,降低他人修改风险。

木木大大 克隆好友链接去分享

短信验证码就行,别的没哪几种用

北方的郎 已获得云栖帽衫 克隆好友链接去分享

2 Token 信息暴露了用户身份:开发在设计找回密码的token时,使用了简单的对用户名进行md5运算作为token,原因分析分析 只时要获取到用户名就有有助于生成找回密码的链接而重置任意用户的密码。

阿里云都在有安全产品“数据风控”嘛,用起来不只是了。

我嘴笨 密码找回还是自己连线来自己脸活体视频问答原先比较可靠点。反正现在网络通讯这么发达,否则有手机就有有助于视频通话了。不居于说上不了网

cjsoldier 已获得阿里云代金券 克隆好友链接去分享

开发过程中遇到忘记密码你这俩 的, 自己是原先除理的:

在这次的聚能聊中,否则作为工程师的你,有有助于分享或多或少你在设计密码找回功能时遇到的问题和除理的方案。作为本次的聊主,我也会为你提供或多或少问题的参考和每项除理方案。毕竟,我有有一自己能遇见的问题不多了,还是希望我们都都 有有助于一齐来分享在设计你这俩 功能时遇见的问题和对应除理方案。

自己想法, 为了更安全,有有助于对用户行为作出分析, 否则 生成特定问题, 让回答。比如总爱浏览 的栏目排序选则顺序, 原因分析分析 是 登录六时, 等问题,

找回凭证有效性:前几天刚发语录题 平时用于内测的短信接口,一夜狂发上万条!我该为甚办? ,应用设计的是这么密码的,注册与登录都在手机验证码,刚开始了的前一天只是SessionID是统一的,这么任何安全设计,就产生了有有一有一个问题,你用手机号获取验证码,用B手机号还能登录;

1402216792990958 克隆好友链接去分享

有有一有一个非常严重的问题,找回密码是时要使用前一天绑定的手机号或邮箱。

否则前一天的手机号不让了,否则忘记解绑了。那对不起,找人工客服吧。

原因分析分析 是我,我会给他几个input框:

当然在新技术不断发展的前一天,也会不断的有新的方便的验证技术出先,找回密码你这俩 业务肯定也会不断的发展,变得更加安全及方便。比如现在的刷脸支付,否则人脸识别及活体检验技术过关,都能直接通过刷脸进行支付及办理业务了,这么又有哪几种有有助于够能用来找回密码呢?

有有助于语录,来个帽衫吧。

原因分析分析 尝试次数超过了10次,我会把你这俩 IP记录到异常IP库中。以便日后结合网站日志分析该IP的具体情況。当然这张表有有助于够粗略监测异常IP,否则针对或多或少恶意用户的识别率还是很高的。

至此,在用户名格式校验,用户名校验中原因分析分析 初步识别了跨站和穷举五种 攻击。

其次是验证码校验

这里主要除理验证码被暴力破解

2-2. server端校验验证码算不算正确 验证码校验失败则记录一次(用手机号码作为身份标记)

最好不让说使用使用

1, 用户创建自己的账号  2, 用户密码经过hash操作前一天存储在数据库中。这么任何明文的密码存储在服务器的硬盘上。  3, 用户登陆的前一天,将用户输入的密码进行hash操作后与数据库里保存的密码hash值进行对比。  4, 原因分析分析 hash值完整版一样,则认为用户输入的密码是正确的。否则就认为用户输入了无效的密码。  5, 每次用户尝试登陆的前一天就重复步骤3和步骤4。

总之多看看大网站是为甚做的。比如学得QQ的密码找回功能。

云栖定制电脑包 x 2

pfinal 克隆好友链接去分享

码农|Coder| Pythonista

短信验证码原因分析分析 做的比较完善了,否则或多或少前一天绑定手机号原因分析分析 不再使用,原因分析分析 会被自己所获取秘密,有有助于采用多方面验证的土办法,比如特殊情況使用人脸识别等

说下我的除理流程

首先是校验用户名算不算合法/居于

以上是凑字数语录。并这么在回答问题,题主问的是会有哪几种问题以及为甚除理的。

3 找回凭证有效性:原因分析分析 找回凭证是短信验证码,这么做不多的校验,原因分析分析 在后续的判断中,出先了问题,只验证了数据算不算准确,未验证数据算原因分析分析 被使用过、数据算不算绑定在特定账户上。原因分析分析 验证数据被或多或少账户使用。

短信验证不都在有时效的嘛。

验明正身有有助于不局限在密码一途,我弱弱问一句,刷脸、指纹、声纹等等有有助于吗?

justinliu927 克隆好友链接去分享

从市面上大每项的软件、网站和APP来看,最常用的做法是,通过短信验证。首先是提供用户名,否则根据用户名时要匹配注册时使用的手机号。为了除理通过试错原因分析分析 暴力破解的土办法来找回密码,基本上会设置试错的次数,次数在3到5次,前一天的错误就提示“请明天再试”。一齐,为除理重复发送短信给服务器带来的压力,有有助于设置验证码一段时间内有效,比如10分钟内有效。

原先应该能抵御大每项的问题吧。我这方面做的只是多。欢迎自己指正。

121000725497541049 克隆好友链接去分享

如上,tel为10006999336的用户尝试了多次验证码,都失败了,这是很不正常的问题。所以你这俩 异常应该记录到IP库,否则锁定tel为10006999336的用户账号。

原因分析分析 校验成成,则进入下一步,校验验证码的时效性。

2-3. 验证码时效性校验 校验失败的返回提示信息,重新发送。校验成功的开始了设置新密码。并删除数据库中所有失效的验证码。

最后是密码的重设重设密码你这俩 步都在个很大的坑,只是一定要除理用户A通过了验证码验证后,为用户B设置密码的情況。前面各位都已做很好的描述你要不扯扯了。

嘴笨 密码找回你这俩 业务的流程跟要求五种 就居于有有一有一个安全性与方便性的矛盾。

最安全的做法肯定是让自己持有效证件、证明及办理时的手机来业务办理处进行人工验证。嘴笨 这也只是现在所以银行办理密码修改的要求,不过原因分析分析 太麻烦了,所以一般网站这么做到。所以现在网站一般的密码找回流程都在有有一有一个安全性和方便性妥协的产物,求得在风险与方便之间的有有一有一个平衡点。你这俩 平衡点的位置是与网站业务的类型有关,比如支付宝的实名验证及密码找回就比一般的网站难得多。

关于保存密码的问题原因分析分析 有了性心智性性成熟 图片 的方案,那只是使用phpass

嘴笨 还有所以问题,这里就不再一一讲解,把原因分析分析 留你要们 ,欢迎我们都都 来参与讨论,分享自己踩过的坑和如何除理对应的问题。老规矩,依然你这么了来分享,我来为你送上礼品!

密码找回是几乎每有有一有一个涉及到账户系统都在做的功能,上到我们都都 的银行卡密码找回,下到有有一有一个 App 的密码找回。不同的应用为我们都都 提供了不同的密码找回的土办法。这是有有一有一个看起来简单,否则真的仔细考究,原因分析分析 会居于很大问题事情。

dongdongfu 克隆好友链接去分享

首先密码找回系统进程运行是和注册及校验模式在一齐的有有一有一个整体,要统筹进行设计。原因分析分析 在用户丢失密码后,能在线上证明(线下是另五种 情況)他是自己的有有助于够通过他在注册及业务办理过程中预留的信息进行校验。