忘记密码模式或技巧? ¿ 模式名称?
Posted
技术标签:
【中文标题】忘记密码模式或技巧? ¿ 模式名称?【英文标题】:Forgot Password Patterns or techniques? ¿pattern names? 【发布时间】:2011-04-08 08:35:00 【问题描述】:我的朋友刚刚在 Buzz 上发布了一个问题:
当您在大多数页面中点击“忘记密码”时,他们 将向您发送一封包含链接的电子邮件 (大多数情况下它会在之后过期 有时)重置您的通行证。多数情况 链接包含某些内容的案例 就像一个 UUID。这个有名字吗 技术?制作一个可过期的网址 / 关联?我这样做的方式就是 生成 UUID 或其他东西 更简单,做所有过期的东西 以编程方式。我想知道如果 这种有一个名字 技术?
读完他的问题后,我现在很好奇,这种技术已经有了名字,或者更好的是,它已经被认为是全球社区的一种模式?
【问题讨论】:
我以为这是另一种形式的身份验证? UUID 是为了证明你是想要重置密码的用户,所以... 我想知道是否存在此模式的名称... 我建议删除“java”标签,因为问题与语言无关,并添加“user-experience”标签,因为它与之相关。 【参考方案1】:您可以使用身份验证令牌调用此Self-service password reset。
资源:
www.goodsecurityquestions.com【讨论】:
【参考方案2】:我相信 UI 模式的名称是“密码重置模式”或“忘记密码模式”。
最糟糕的实现之一是您回答“安全”问题以重置密码,因为它们确实不安全,正如 Colin Hebert says 指出的链接。
最好的实现之一是 Amiando 要求用户提供电子邮件地址和新密码,然后通过电子邮件发送确认以确认新密码。有关this 博客的更多信息。
用户通过电子邮件或其他个人媒体(如手机短信)确认其身份非常重要(不太常见)。
此模式here 的其他实现示例。
【讨论】:
【参考方案3】:这是我将在我的应用程序中使用的基本模式:
-
用户输入用户名或邮箱并点击“重置密码”
通过电子邮件发送给该用户的一次性令牌 URL(这可能会在几
小时)。
用户必须点击电子邮件中的链接。
确认后,用户会通过电子邮件收到随机生成的密码
然后他们可以使用此密码登录或在登录后更改密码(可选)
我认为从安全角度来看这是最好的,并且对最终用户来说易于使用。
【讨论】:
以上是关于忘记密码模式或技巧? ¿ 模式名称?的主要内容,如果未能解决你的问题,请参考以下文章