"비밀번호를 잊어 버렸습니다"-어떻게 처리합니까?


18

이 답변을 읽고 이메일로 비밀번호를 보내지 말 것을 요구하는 의견을 찾았습니다.

이메일로 비밀번호를 검색 할 수 없어야합니다. 내 비밀번호가 일반 텍스트로 저장되어 있음을 의미합니다. 재설정 만해야합니다.

비밀번호 찾기 옵션을 처리해야합니까?

어떤 비용을 지불하더라도 사용자가 암호를 읽을 수 있도록 원시 암호를 UI에 표시해야합니다. "비밀번호 분실"을 처리하는 방법은 무엇입니까?


PHPBB에서 비밀번호를 잊어 버렸습니다.
피터 터너


1
@gnat 둘 중 가장 오래된 것을 확인할 기회가 있었습니까?
Gopi

1
@TechJerk 질문의 나이는 여기 설명 된대로
gnat

답변:


35

좋은 응용 프로그램 디자인은 사용자 암호를 명시 적으로 복구 할 수 없습니다. 이는 편도 작업 인 일종의 해시를 통해 실행 된 후에 일반적으로 저장되기 때문입니다.

분실 한 비밀번호를 처리하는 가장 좋은 방법은 재설정을 수행하는 것입니다. 사용자 계정에 생성 된 매개 변수가있는 링크를 이메일로 보내 해당 계정에 유효한 비밀번호 재설정으로 식별합니다. 이 시점에서 새 비밀번호를 설정할 수 있습니다.

이것은 파일에 사용자 이메일 주소가 있다고 가정합니다.


암호를 처음에 저장하지 않는 것과 같이 중요하지는 않지만 특정 이벤트 및 시간이 지남에 따라 임시 액세스 토큰이 만료되도록하는 등 시간이 허락되면 추가 "모범 사례"가 있어야합니다. 받은 편지함이 손상된 경우 손상되지 않습니다.
Steven

7

사용자 기본 비밀번호를 일반 텍스트로 저장해서는 안되지만 임시 비밀번호를 일반 텍스트로 저장할 수 있습니다.

사용자가 비밀번호를 재설정합니다.-> 임시 비밀번호가 작성됩니다.-> 임시 비밀번호가 이메일을 통해 전송됩니다.-> 다음에 로그인 할 때 비밀번호를 변경해야합니다.


2
여러 사이트에서이 작업을 수행했습니다. 메일 스누 퍼가 비밀번호를 얻을 수 있다고 주장 할 수도 있지만 이메일로 보낼 다른 임시 토큰 등을 얻을 수도 있습니다. 이 접근 방식은 사용자에게 더 간단하며 (temp 암호를 복사하여 붙여 넣거나 입력 할 수도 있음) 보안 문제가 발생하지 않습니다.
Kate Gregory

누군가가 메일 서버에 연결하는 안전한 방법 (예 : HTTPS 또는 TLS를 통한 POP3을 통한 웹 메일)을 사용하지 않으면 이러한 통신을 쉽게 스니핑 할 수 있습니다. 이 경우 일부 "haX0r"은 다른 사용자 계정에 쉽게 로그인 할 수 있습니다. 그래서 나쁜 생각입니다. Chris가 제안한대로 재설정 링크를 보내야하며 실제로 사용자가 자신의 암호를 변경하도록하기 전에 보안 관련 질문을 받아야합니다. 여전히 100 % 안전하지는 않지만 (많은 보안 질문에 대한 대답을 쉽게 추측 할 수 있기 때문에) 더 나은 해결책을 볼 수 없습니다.
Paweł Dyda

2
@Pawel Dyda 이메일이 스니핑되는 경우 재설정 링크를 스니핑 할 수 있습니다. 이메일에 임시 비밀번호를 사용하는 것이 가장 걱정할 만합니다.
Viper_Sb

그래서 제가 보안 ​​질문에 대해 썼습니다.
Paweł Dyda

5

의견은 이메일로 아무것도 보내지 않고 원래 비밀번호를 이메일로 보내는 것에 반대합니다. 교육 기관이 원래 암호를 보낼 수 있다면 암호가있는 것이므로 보안 문제입니다. 댓글 작성자는 이메일을 통해 비밀번호를 보내지 말라고 주장하지 않았습니다. 대부분의 경우 비밀번호가 거의 필요하기 때문입니다.

올바른 방법은 어떤 이유로 든 한 번 사용할 수있는 새 비밀번호를 지정하는 것입니다. 시스템에 의해 이미 만료 된 것으로 표시 될 수 있습니다. 페이지에 로그인하여 동적으로 생성 된 비밀번호를 한 번만 한 번만 변경하면됩니다.


4

내가 가장 좋아하는 것은 "비밀번호 변경"페이지를 제공하는 X 시간 동안 유효한 1 회 링크로 등록 된 이메일 주소로 사용자에게 이메일을 보내는 애플리케이션입니다.

그런 다음 사용자는 비밀번호를 이메일에 입력하지 않아도 원하는대로 비밀번호를 설정할 수 있습니다.


4

내 신용 카드 제공 업체는 "암호를 잊어 버렸습니다"옵션을 통해 보안 관련 질문을합니다 (이것은 그 자체로는 엄청나게 안전하지는 않지만 많은 은행은 그렇게합니다). 새로운 코드를 생성하고 화면에 절반을주고 하반기 이메일을 보냅니다. 당신. 이렇게하면 웹 페이지와 전자 메일 주소에 모두 액세스하지 않으면 계정을 깰 수 없습니다.

나는 유용성 관점 에서 이것에 대해 조금 물었다 .

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.