Внедрить лучшие практики восстановления пароля

Question

Я хочу реализовать восстановление пароля в моем веб-приложении.

Я бы хотел избежать использования секретных вопросов.

Я мог бы просто отправить пароль по электронной почте, но я думаю, что это будет рискованно.

Возможно, я мог бы сгенерировать новый временный случайный пароль и отправить его по электронной почте, но я думаю, что это так же рискованно, как и в предыдущем пункте.

Могу ли я отправить URL-адрес по электронной почте, например http://example.com/token=xxxx где xxxx - случайный токен, связанный с пользователем. Поэтому, когда пользователь переходит на этот URL, он / она может сбросить пароль.

Answer 1

Вот пример того, как кто-то сделал это с Node.js, в основном генерирует случайный токен, время истечения, отправляет ссылку с прикрепленным токеном, имеет маршрут reset/:token, который гарантирует, что пользователь существует с этим токеном ( который также не истек) и, если это так, перенаправить на страницу сброса пароля.

http://sahatyalkabov.com/how-to-implement-password-reset-in-nodejs/

Answer 2

Относительно секретного вопроса / ответа. Как пользователь веб-сайтов, я лично ими не пользуюсь (я ввожу в них мусор). Но они, конечно, не бесполезны или бессмысленны, как некоторые говорят здесь.

Рассмотрим следующую ситуацию: Пользователь вашего сайта покинул свой стол, чтобы пойти на обед, и не заблокировал свою рабочую станцию. Теперь злоумышленник может зайти на страницу для восстановления / сброса пароля и ввести имя пользователя. Затем система отправит восстановленный / сброшенный пароль по электронной почте, не запрашивая ответ безопасности.