04. september 2009 - 19:58Der er
20 kommentarer og 1 løsning
Overvejelser vdr. Glemt password / sikkerhed
Hej.
Hvordan kan en glemt-password funktion laves mest mulig sikker så andre brugere ikke har mulighed for at få andre brugere's passwords?
Lige pt. kører det sådan Bruger skriver email -> email afsendes med link -> bruger trykker på link med bekræftelseslink -> email afsendes med nyt kodeord -> brugeren er glad
Der er en ting jeg har tænkt lidt over.. hvordan skal jeg lave det unikke link som brugeren kan trykke på? Det skal være et man ikke bare lige kan lave for sig selv, selvom det bliver lagt i db'en da man så bare kan bestille en kode og måske 'regne' sig frem til bekræftelseslinket.. nogen gode ideer?
En SHA-256 hash af f.eks.: rigtigt navn + tid + memory forbrug paa systemet er ikke til at gaette.
Men jeg forstaar ikke hvad du vil beskytte dig mod. Hvis de ikke kan intercepte email kan de ikke faa passwordet og hvis de kan intercepte email, saa har de ikke behov for at gaette link.
Det er muligt. Der er ogsaa mange sites som er pivaabne for SQL injection.
Hvis du laeser dit eget Wikipedia link saa staar der:
Cryptanalysis of the WinAPI GUID generator shows that, since the sequence of V4 GUIDs is pseudo-random, given the initial state one can predict up to the next 250 000 GUIDs returned by the function UuidCreate[2]. This is why GUIDs should not be used in cryptography, e.g., as random keys.
GUID's er designet til at vaere tilfaeldige men ikke til at vaere svaere at gaette.
Synes godt om
Slettet bruger
04. september 2009 - 21:02#12
Ja ok! arne_v :-) kom spørgsmålet så ikke fra CIA eller PET
lige nu så tjekker den IP + email + guid med det der er lagret i DB'en ... og det skal passe ved første forsøg... ellers sletter den det entry fra databasen.. ved ikke om det lyder OK?
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.