반환 비밀번호를 사용자가 웹사

StackOverflow https://stackoverflow.com/questions/713611

  •  23-08-2019
  •  | 
  •  

문제

내가 받은 불행한 요구 사항의 건물에 페이지를 표시하는 새로운 암호를 사용하면 인증된 사용자.나는 실패 항의 이 요구 사항으로 일반적으로는 나쁜 생각,그러나 내가 생각하는 배심원은 여전히 그래서 아마도 있는 인수에 대하여 표시하는 새로운 비밀번호는 아직 시도하지 않은.Do you have any suggestions?

두 번째로,그것은 더 나을 표시하는 암호를 같이 사용자가 아닌 이미지 텍스트로.나는에 대해 우려되는 텍스트"긁어는"나는 가정하면 될 것이 더 어려운 이미지와 함께.도록 하려면 어떻게 해야 하는 이미지가 캐쉬에 저장하지 않는 사용자에 의해 브라우저는 무엇입니까?

사전에 감사합니다,

도움이 되었습니까?

해결책

나는 확실하지 않다 당신이 무엇을 구축하고 무엇을 요구하지만,일반적으로는 엄지 손가락의 규칙이 내가 이것을 고려하지 않으로 우러러 보안 관심사입니다.에서 찾을 수 있습니다 공격:

  1. 남자 에서 중간 공격에 HTTP 텍스트 트래픽 이미지를,하나 특히 난독에 대한 OCR(CAPTCHA 스타일)면 이러한 현상을 방지할 수 있습니다격지만,또한 단순히 HTTPS 를 사용하여로 porneL 언급했다.
  2. 화면을 긁는 원격 데스크톱 응용 프로그램-HTTPS 보호 도움이되지 않습니다,나는 이미지로 혼란 화면에서는 읽을 수 있는 인간의 어쨌든 어(인간의 공격할 수도 있습 피화된 이미지에 대한 보호를"man in the middle"에 의해 지시기를 보관하는 이미지 그들을 통해 이동을 수동으로).면 인간은 화면 뒤에 스크레이퍼,당신은 보호되지 않습니다.
  3. 당신의 어깨에 도청-면 공격자는 단순히 뒤에 서 사용자는 다음에 다시-을 보호하지 않습니다.

할 경우 암호가 자동으로 생성되며 다음해야 합니다 그것을 보여 사용자에게,주위에 방법이 없습니다.방법 중 하나 사이트에도 위협을 완화하는 암호를 보내는 이메일로-가정에서는 사용자가 확인할 수 있습들을 읽고 이메일이 없을 때 하나를 찾고에서 자신의 시간입니다.불행하게도 이메일 것입니다 심지어 당신이 당신의 이익을 보호하기 위해 암호화를 전송합니다.

제 생각에는,가장 좋은 방법은 사용자가 입력한 암호(암호에 난독 필드처럼,그것은 일반적으로 수행하)과 다음에만 저장하시 암호를 그렇게 당신이 필요하지 않 실제 암호가 저장 방지를 보여주고 있습니다.해야 하는 경우에는 보여 사용자(아마도 때문에 당신은 당신을 생성하다),다음 확인을 통해 HTTPS 을 보유하고 있습니다-그것의 모든 과시 다만 복잡하게 구현 없이 보안이 혜택입니다.

다른 팁

이미지 안전하지 않다.

당신이 사용하는 경우 HTTPS,그 암호는 안전한 중 하나다.당신이 사용하는 경우 HTTP,다음 비밀번호를 발급 일반 텍스트 형태에서(당신 가시는 그것을 위해 몇 가지 종류의 확인),및 표시되는 방식 초 후에 문제가 되지 않습니다.

중요한 것은 확인 페이지를 표시하는 암호는 비 캐시'able.

Cache-control: no-cache, no-store, must-revalidate

당신은 시도했는 다음과 같은?

  • 할 수 없습니다 암호 표시하지 않기 때문에 당신이 그것을 저장합니다.

나는 확실하지 않다면 그것은 정말 그런 나쁜 생각이 아니다.을 보낼 수 있는 새로운 비밀번호를 사용자 중 하나에서 방법입니다.로 보내는 이메일은 암호화되지 않은 동일한 문제이며,매월 또는 매년 잡히거나며,매월 또는 매년 캐시를 사용할 때 웹 메일입니다.

내가 사용하는 것이 좋은 이미지가 될 수도 있 captcha 처럼 하나입니다.그러나 이것만 보호하는 조금 더 많은에 대한 자동화된 공격 반대하지 않는 인간의 공격입니다.

을 얻을 수있는 유일한 방법은 것은 안전한 사용 enryption 제안 HTTPS.다음을 사용하여 귀하의 웹사이트를 표시 될 수 있습니다 더욱 안전하에 의존하지 않고 이메일이나 솔루션입니다.

Leting 사용자가 새로운 비밀번호를 입력하는 동일한 문제는 이제 그것을 보낼 수 있습니다.

나는 단순히 제안 HTTPS 를 사용하여 트래픽을 암호화하고 저장하기에만 해시의 임시 비밀번호,그래서는 실제하지 않는 암호 데이터베이스 내에 저장됩니다.물론,당신을 막을 수 없습니다 물리적인"hackers"(같은 사람들이 찾고 뒤에 어깨)를 훔치는 임시 비밀번호,지만,가능하면,당신은 당신이 필요할 수 있습을 변경하려면 사용자가 자신의 비밀번호에 즉시 그들은 로그인 임시 비밀번호,그래서는 위험으로 임시 비밀번호가 줄어듭니다.

라이센스 : CC-BY-SA ~와 함께 속성
제휴하지 않습니다 StackOverflow
scroll top