witam
jaki jest najlepszy sposob na odzyskiwanie/resetowanie zapomnianego hasla usera?
ja zrobilem tak ze po wybraniu opcji zresetuj haslo, oraz po wpisaniu login i adresu e-mail zapisywany jest do bazy nowe haslo generowane jakims algorytmem, a nastepnie wysylany jest mail do usera z nowym haslem.
na tym forum jest tak ze jest jeszcze zalaczony link w tym mailu ktory sluzy do potwierdzenia, czyli to znaczy ze dopiero po potiwerdzeniu haslo jest zastepowane nowym?
czy juz wczesniej jest tworzone i wysylane do usera, tylko gdzie ono jest przechowywane? kolejna kolumna w tabeli user?
jak najlepiej to rozwiazac zeby user zbytnio sie nie zniechecal ale zeby rowniez system byl bezpieczny.
pozdrawiam
z gory dziekuje za odpowiedzi
Pełna wersja: odzyskiwanie zapomnianego hasła
Witam,
Ja robię to tak, że mam dodatkowe pole w bazie danych koło zhashowanego hasła, i teraz jeśli użytkownik chcę przypomnieć sobie hasło to musi podać swój nick i adres e-mail podany wcześniej przy rejestracji, jeśli dane się zgadzają to zostaje wysłany e-mail z wygenerowanym losowym hashem, hash ten zostaje zapisany w to dodatkowe pole w bazie danych.
Następnie, jeśli hash w bazie zgadza się z hashem podanym w linku np. ?key=500a72aee33a41f4105df6290a56cc92 to zostaje wygenerowane nowe hasło i zupdateowane w bazie danych na to nowe, oczywiście zostaje wysłane na adres e-mail.
Można oczywiście prościej, jednak jakoś ta metoda najbardziej mi przypadła do gustu. Dlaczego nie tak jak napisałeś?
Ponieważ istnieje prawdopodobieństwo, że ktoś będzie znał Twój adres e-mail i nick'a wtedy zostanie Ci wygenerowane nowe hasło, zupełnie niepotrzebnie. Później będziesz musiał wprowadzić te nowe w mailu i ponownie zmieniać, a takto nowe hasło zostaje wygenerowane dopiero po sprawdzaniu.
Pozdrawiam!
Ja robię to tak, że mam dodatkowe pole w bazie danych koło zhashowanego hasła, i teraz jeśli użytkownik chcę przypomnieć sobie hasło to musi podać swój nick i adres e-mail podany wcześniej przy rejestracji, jeśli dane się zgadzają to zostaje wysłany e-mail z wygenerowanym losowym hashem, hash ten zostaje zapisany w to dodatkowe pole w bazie danych.
Następnie, jeśli hash w bazie zgadza się z hashem podanym w linku np. ?key=500a72aee33a41f4105df6290a56cc92 to zostaje wygenerowane nowe hasło i zupdateowane w bazie danych na to nowe, oczywiście zostaje wysłane na adres e-mail.
Można oczywiście prościej, jednak jakoś ta metoda najbardziej mi przypadła do gustu. Dlaczego nie tak jak napisałeś?
Ponieważ istnieje prawdopodobieństwo, że ktoś będzie znał Twój adres e-mail i nick'a wtedy zostanie Ci wygenerowane nowe hasło, zupełnie niepotrzebnie. Później będziesz musiał wprowadzić te nowe w mailu i ponownie zmieniać, a takto nowe hasło zostaje wygenerowane dopiero po sprawdzaniu.
Pozdrawiam!
hmm wlasciwie to mam juz kolumne sid w tabeli user, ktorej wartosci przydaja sie przy rejestracji usera:) tzn potwierdzenie rejestracji.
czyli wysylam maila z linkiem
www.strona.pl/index.php?nav=nowe_haslo&sid=jidfjsdf8sdf43jirjkj8sd894&login=wacek
i jesli w to user kliknie to generuje sie nowe haslo i wysylany jest znowu mail z nowym haslem?
no ale jezeli bedzie tak jak pisalem, czyli ze po kliknieciu zresetuj haslo trzeba podac login i mail, po czym wysylany jest mail z nowym haslem
to komu to przeszkodzi?
przeciez taki mail z nowym haslem zostanie wyslany do wlasciciela maila.
tylko ze wtedy jest wiecej klopotu jak sobie ktos dla checy wpisze nieswoj login i mail. wtedy wlasciciel maila ma wiecej roboty, bo musi zalogowac sie z nowym haslem i zmienic haslo na stare, albo jakies inne ale swoje.
czyli wysylam maila z linkiem
www.strona.pl/index.php?nav=nowe_haslo&sid=jidfjsdf8sdf43jirjkj8sd894&login=wacek
i jesli w to user kliknie to generuje sie nowe haslo i wysylany jest znowu mail z nowym haslem?
no ale jezeli bedzie tak jak pisalem, czyli ze po kliknieciu zresetuj haslo trzeba podac login i mail, po czym wysylany jest mail z nowym haslem
to komu to przeszkodzi?
przeciez taki mail z nowym haslem zostanie wyslany do wlasciciela maila.
tylko ze wtedy jest wiecej klopotu jak sobie ktos dla checy wpisze nieswoj login i mail. wtedy wlasciciel maila ma wiecej roboty, bo musi zalogowac sie z nowym haslem i zmienic haslo na stare, albo jakies inne ale swoje.
Cytat
i jesli w to user kliknie to generuje sie nowe haslo i wysylany jest znowu mail z nowym haslem?
Dokładnie.
Cytat
no ale jezeli bedzie tak jak pisalem, czyli ze po kliknieciu zresetuj haslo trzeba podac login i mail, po czym wysylany jest mail z nowym haslem to komu to przeszkodzi?
IMO: Szczerze powiedziawszy mi by się nie chciało co chwilę zmieniać hasła, lepiej mieć takie zabezpieczenie przed tym.
a nie za duzo tych maili user dostanie? bo az 2, i troche operacji musi przezyc.
moglbys wyjasnic o co chodzi, bo nie za bardzo zrozumialem.
Cytat
IMO: Szczerze powiedziawszy mi by się nie chciało co chwilę zmieniać hasła, lepiej mieć takie zabezpieczenie przed tym.
moglbys wyjasnic o co chodzi, bo nie za bardzo zrozumialem.
hmmm.. może ja wyjaśnie chodzi mu o to, że jak jakiś twój "kolega" zna twój login i meila to co chwilę może resetować Ci hasło
no dobra, a jezeli ktos zna login i mail to moze wysylac co chwile maila z linkiem do zresetowaia hasla i to tez moze wkurzac usera 
ale w sumie racja, lepiej wysylac tylko 2 maile w zwiazku z zapomnianym haslem.
czekam na jeszcze inne pomysly:)
poki co zastosuje zaproponowany przez strife.
pozdrawiam
ale w sumie racja, lepiej wysylac tylko 2 maile w zwiazku z zapomnianym haslem.
czekam na jeszcze inne pomysly:)
poki co zastosuje zaproponowany przez strife.
pozdrawiam
niektórzy wprowadzają jeszcze zestaw standartowych pytań typu imie pieska czy kotka czy ulicy ale z punktu widzenia uzytkownika to trzeba by miec zeszyt z tymi wszytkimi rzeczami do zapamietania.....no ba....jak ma sie takich fajnych kolegów 
ale z punktu widzenia uzytkownika to trzeba by miec zeszyt z tymi wszytkimi rzeczami do zapamietania.....no ba....jak ma sie takich fajnych kolegów
powroce do tematu tylko ze teraz mam pytanie odnosnie zmiany hasla, zmiany adresu e-mail
czy po zalogowaniu sie usera, gdy przejdzie do edycji danych swojego konta, mozna mu pozwolic na swobodna zmiane hasla i adresu e-mail?
czy po zalogowaniu sie usera, gdy przejdzie do edycji danych swojego konta, mozna mu pozwolic na swobodna zmiane hasla i adresu e-mail?
Zalezy co rozumiesz pod pojeciem "swobodna"!!! Osobiscie uwazam, ze zmiana hasla jest nieodzowna dla uzytkownika - haslo powinien znac uzytkownik, i tylko on dlatego powinien miec mozliwosc jego zmiany. Jezeli chodzi o maila to juz zalezy do czego pozniej wykorzystujemy ten adres - ale raczej to tez nie powinno stanowic zagrozenia!
swodobna - czyli ma user formularz gdzie edytuje dane swojego konta. tam ma tez pole nowe haslo i e-mail.
widzialem na niektorych stronach po zmianie hasla i e-mail wysylany jest list potiwerdzajacy na ten nowy adres z linkiem aktywujacym nowy adres, lub aktywujacy nowe haslo.
o to wlasnie mi chodzilo. czy az takie zabezpieczenia sa potrzebne.
czy mozna mu pozwolic swobodnie zmienic adres mailowy i haslo bez zadnych dodatkowych autoryzcji tych nowych danych.
widzialem na niektorych stronach po zmianie hasla i e-mail wysylany jest list potiwerdzajacy na ten nowy adres z linkiem aktywujacym nowy adres, lub aktywujacy nowe haslo.
o to wlasnie mi chodzilo. czy az takie zabezpieczenia sa potrzebne.
czy mozna mu pozwolic swobodnie zmienic adres mailowy i haslo bez zadnych dodatkowych autoryzcji tych nowych danych.
Nowe haslo napewno nie wymaga autoryzacji, a jezeli chodzi o mail to trudno mi wyobrazic sobie sytuacje, w ktorej zmiana adresu wymuszalaby autoryzacje tej zmiany... Moim zdaniem autoryzacja w tym przypadku nie ma sensu!
Cytat(AxZx @ 2005-12-23 21:05:57)
witam
jaki jest najlepszy sposob na odzyskiwanie/resetowanie zapomnianego hasla usera?
ja zrobilem tak ze po wybraniu opcji zresetuj haslo, oraz po wpisaniu login i adresu e-mail zapisywany jest do bazy nowe haslo generowane jakims algorytmem, a nastepnie wysylany jest mail do usera z nowym haslem.
na tym forum jest tak ze jest jeszcze zalaczony link w tym mailu ktory sluzy do potwierdzenia, czyli to znaczy ze dopiero po potiwerdzeniu haslo jest zastepowane nowym?
czy juz wczesniej jest tworzone i wysylane do usera, tylko gdzie ono jest przechowywane? kolejna kolumna w tabeli user?
jak najlepiej to rozwiazac zeby user zbytnio sie nie zniechecal ale zeby rowniez system byl bezpieczny.
pozdrawiam
z gory dziekuje za odpowiedzi
jaki jest najlepszy sposob na odzyskiwanie/resetowanie zapomnianego hasla usera?
ja zrobilem tak ze po wybraniu opcji zresetuj haslo, oraz po wpisaniu login i adresu e-mail zapisywany jest do bazy nowe haslo generowane jakims algorytmem, a nastepnie wysylany jest mail do usera z nowym haslem.
na tym forum jest tak ze jest jeszcze zalaczony link w tym mailu ktory sluzy do potwierdzenia, czyli to znaczy ze dopiero po potiwerdzeniu haslo jest zastepowane nowym?
czy juz wczesniej jest tworzone i wysylane do usera, tylko gdzie ono jest przechowywane? kolejna kolumna w tabeli user?
jak najlepiej to rozwiazac zeby user zbytnio sie nie zniechecal ale zeby rowniez system byl bezpieczny.
pozdrawiam
z gory dziekuje za odpowiedzi
forlm/nOr OO{zero'zero}
A co wy na to??
1. user zapomina haslo
2. wpisuje username i e-mail
3. dostaje maila z kodem potwierdzajacym
4. klika i tam ma mozliwosc wybrania nowego hasla (2 pola dla pewnosci)
5. odrazu sie loguje (oszczedza czas spradzania 2go maila)
6. oczywiscie maila z nowym haslem albo informacji o zmianie wysylamy na jego adres
Czy sa jakies zagrozenia?
1. user zapomina haslo
2. wpisuje username i e-mail
3. dostaje maila z kodem potwierdzajacym
4. klika i tam ma mozliwosc wybrania nowego hasla (2 pola dla pewnosci)
5. odrazu sie loguje (oszczedza czas spradzania 2go maila)
6. oczywiscie maila z nowym haslem albo informacji o zmianie wysylamy na jego adres
Czy sa jakies zagrozenia?
Są (teoretyczne) jakby się ktoś upar to szukał by dobrego kodu do strony tej gdzie daje nowe hasło. Lepjej żeby usera logowało ale hasło przesyłało na maila
Widze ze nie bez znaczenia nazywasz sie Haker 
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.