リセットパスワードのリンクが良くなか?

Question

いパスワードをリセットサポートも組み込まれています。申請の送付を確認コードに代替のe-mail<url>マネージャーであると考えていないかを含むページへのリンクがいを入力します。

私はその引数です。しかし、ヘルプデスクは圧倒されユーザーに混乱をきたしています。私はこで多くのユーザーの閲覧をタブ/ウィンドウおよびナビゲート当社のウェブアプリケーションの確認メールの確認コードです。

私の質問:どうしたらいいのアプローチす。たいと思いヘルプデスクを軽減、作の痛みを無料でご利用頂けます。ご意見募集

解明

そして、ユーザは確実に落による研修へのリンクをクリックからの送信者を確認できない(この場合、自動でメッセージ、"返信"アドレス）こうして、ユーザーの影響を受けやすいフィッシングの試みると思っていましたが直前になり多くの課題を当社の組織です。

Answer 1

リンクを送信することは、それを行う標準的な方法だと思います。顧客がこの電子メールアカウントの整合性を本当に心配している場合、彼は最初にそれを整理した方が良いでしょう。

基本的に、リンクを送信しないことで追加のセキュリティを獲得することはできませんが、多くの快適さを得ることができます。他のみんなと同じようにそれをしてください - そこに入れてください（時間制限）。

Answer 2

もの心のオプションにてユニークな識別子のe-mailの対象のお客様に返信するメール.

その後の自動スクリプトチェック'password-forgotten@mycompany.de'メールの再パスワードを忘れたら？[UNIQUEID]'.のスクリプトをメールして、新しいパスワードになります。

多くのユーザーなの変更の際は、件名を打つ"返信"のない"新規作成メールを受信者アドレスを手動でチャンスは大きなものなので、受信メールの"パスワードを忘れた"をしているUNIQUEIDしいたします。※

プラスヘルプデスクにいて助けになることを実際に変更するメールの"件名".;-)

が安全に配慮しました。うマネージャーが張るものが送鍛造"Forgorパスワードの"メールの"Reply-To"ヘッダーの攻撃者のアドレスです。処理のスクリプトを傍受される偽造...

Answer 3

リンクを含めるべきではない理由はありません。特に、誰かがスリムではないクラックの可能性があるため、コードがハッシュのようなものである場合。

ただし、コードが挿入されているページに追加の保護を追加し、トライの数を3のようなものに制限できます。さらに保護するには、そのページにもメールアドレスを送信し、メールアドレスごとに3回の試行を許可します。 3回の試行 / IPの代わりに、簡単にバイパスできます。