Jak wygląda edycja użytkownika z hasłami?
W jaki sposób zmienia hasło użytkownikowi w panelu administratora skoro hasło jest ustawione na md5?
Przy rejestracji hasło jest ustawione na md5
Wpisujesz nowe haslo, kodujesz je funkcja md5($haslo) i wysyłasz do bazy. I hasło zmienione
Ogólnie administrator nie widzi haseł użytkownika?
Jak chce zmienić hasło, to podaje nowe hasło?
Jak chce zmienić hasło, to podaje nowe hasło?
Jeżeli są zakodowane w md5 to nie widzi, tego się nie da rozkodować. I tak, jeżeli chce zmienić to koduje od nowa nowe hasło
Najczęściej stosuje się takie metody:
1. Reset hasła - użytkownik dostaje link aktywacyjny mailem lub hasło tymczasowe wygenerowane przez system, na które się loguje by podać swoje hasło.
2. Po prostu zmienia się hasło użytkownikowi i informuje go o tym, że ma zmienić sobie hasło na swoje.
Administrator nie ma prawa zobaczyć haseł użytkowników, może tylko je zresetować lub zmienić na własne - zależy od systemu.
1. Reset hasła - użytkownik dostaje link aktywacyjny mailem lub hasło tymczasowe wygenerowane przez system, na które się loguje by podać swoje hasło.
2. Po prostu zmienia się hasło użytkownikowi i informuje go o tym, że ma zmienić sobie hasło na swoje.
Administrator nie ma prawa zobaczyć haseł użytkowników, może tylko je zresetować lub zmienić na własne - zależy od systemu.
A więc powiem jak ja najczęściej coś podobnego wykonuję.
Ktoś prosi o zmianę hasła podając ważny login lub email rejestracyjny(ważne by był unikatowy w bazie, bo proces idzie w pełni z automatu). Na powiązaną z tym kontem skrzynkę pocztową idzie mail o próbie zmiany hasła, gdzie jest link aktywacyjny, który należy kliknąć by baza dopiero wtedy zamieniła hasło. Tak by "dowcipnisie" komuś notorycznie haseł poprzez tę możliwość nie zmieniali. I tutaj można na kilka sposobów rozwiązać sprawę. Albo już teraz podać hasło, albo dopiero w mailu, który otrzyma przy pomyślnej zmianie hasła.
Na każdym etapie hasło jest hashowane z danych nie związanych z tym kontem, choćby timestamp z losową wartością dodaną czy tego typu dane. Przechowywanie hasła jawnie w bazie to jak spanie na beczce prochu. Gdy usłyszysz huk, już będzie za późno
Nikt nie ma prawa, nawet znając algorytm, uzyskać hasła. Stąd własnie sole, by nawet banalne hasła były trudne do "odczytu" z tęczowych tablic.
Ktoś prosi o zmianę hasła podając ważny login lub email rejestracyjny(ważne by był unikatowy w bazie, bo proces idzie w pełni z automatu). Na powiązaną z tym kontem skrzynkę pocztową idzie mail o próbie zmiany hasła, gdzie jest link aktywacyjny, który należy kliknąć by baza dopiero wtedy zamieniła hasło. Tak by "dowcipnisie" komuś notorycznie haseł poprzez tę możliwość nie zmieniali. I tutaj można na kilka sposobów rozwiązać sprawę. Albo już teraz podać hasło, albo dopiero w mailu, który otrzyma przy pomyślnej zmianie hasła.
Na każdym etapie hasło jest hashowane z danych nie związanych z tym kontem, choćby timestamp z losową wartością dodaną czy tego typu dane. Przechowywanie hasła jawnie w bazie to jak spanie na beczce prochu. Gdy usłyszysz huk, już będzie za późno
Nikt nie ma prawa, nawet znając algorytm, uzyskać hasła. Stąd własnie sole, by nawet banalne hasła były trudne do "odczytu" z tęczowych tablic.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.