만료 재설정 암호 전자 메일 키

Question

전자 메일로 재설정 된 암호 키 만료에 관한 표준은 무엇입니까? 그는 자신의 비밀번호를 resetted되면 http://site.com/reset/keygoeshere

키가 사용자의 계정에서 삭제된다

내 응용 프로그램은 URL에 추가 된 30 개의 영숫자 키를 생성합니다.

이 question은 만료 키에 대해 이야기하지만 다른 사용자는 이메일 계정이 도용 된 경우 분명히 새 재설정 키를 쉽게 요청할 수 있다고 언급했습니다.

이 접근법의 주된 잠재적 취약성은 누군가가 리셋 키를 시도하고 브릿지 할 수 있으며 키가 속한 계정을 알지 못하더라도 다른 사람의 암호를 변경할 수 있다는 것입니다.

예를 들어, 페이스 북에서 3 일 전에 보낸 재설정 링크를 클릭 했는데도 여전히 작동했습니다.

표준 연습의 측면에서 암호 재설정 키가 만료 되었습니까? 그렇다면 키를 얼마나 오래 "신선한"상태로 유지해야합니까?

Answer 1

사용자의 이메일 계정이 해킹 당할 수 있습니다. 그러나 무차별 한 행동을 막기 위해 15 분이라는 짧은 만료 시간이 바람직합니다. 사용자가 비밀번호 재설정을 요청하는 경우 일반적으로 에 액세스하고 나중에 사용하기 위해 비밀번호 재설정 링크를 요청하는 경우 다른 사용자에게 다시 요청해야합니다. 링크 된 Q에 대한 첫 번째 주석은 거의 요약되어 있으며 사용자가 보안을 유지한다는 사실을 마음에 들지 않으면 문제가됩니다.

또한 도전 질문을 통해 더 안전하게 재설정 할 수 있습니다. "첫 번째 차가 뭐니?"같은 것. 이러한 유형의 조치는 표준이며 정보가 일반적으로 사용자에 대해 알아 내기가 어렵지는 않지만 무작위 인 짐승 범은 아마도 신경 쓰지 않을 것입니다. 특히 15 분이 걸렸을 때 재설정 링크.

Answer 2

제 생각에는 둘 다 필요합니다. 그렇지 않으면 심각한 보안 문제가 많이 발생할 것입니다. 보통 나를 위해, 나는 단지 4 시간을 간직한다.

Answer 3

몇 가지 참고 사항 :

리셋 URL에 도달

1. , 쿠키에 키를 저장하고 즉시는 어디서든 참조 페이지에서 아니에요 너무 리디렉션합니다. 쿠키는 브라우저를 닫을 때 만료되어야하며 비밀번호가 재설정되면 쿠키가 명시 적으로 삭제되어야합니다.
2. 나는 내 서비스를 위해 3 시간 리셋을하고, 나는 심지어 그것이 너무 많은 시간이라고 생각한다. 30 분이면 괜찮을거야.
3. 비밀번호 재설정 링크가 모두 안전하지 않습니다. 서비스에 신용 카드 데이터, 환전 또는 개인 정보가 있으면 어떤 도전 질문도 포함시켜야합니다.