전자 메일로 재설정 된 암호 키 만료에 관한 표준은 무엇입니까? 그는 자신의 비밀번호를 resetted되면 http://site.com/reset/keygoeshere만료 재설정 암호 전자 메일 키
키가 사용자의 계정에서 삭제된다
내 응용 프로그램은 URL에 추가 된 30 개의 영숫자 키를 생성합니다.
이 question은 만료 키에 대해 이야기하지만 다른 사용자는 이메일 계정이 도용 된 경우 분명히 새 재설정 키를 쉽게 요청할 수 있다고 언급했습니다.
이 접근법의 주된 잠재적 취약성은 누군가가 리셋 키를 시도하고 브릿지 할 수 있으며 키가 속한 계정을 알지 못하더라도 다른 사람의 암호를 변경할 수 있다는 것입니다.
예를 들어, 페이스 북에서 3 일 전에 보낸 재설정 링크를 클릭 했는데도 여전히 작동했습니다.
표준 연습의 측면에서 암호 재설정 키가 만료 되었습니까? 그렇다면 키를 얼마나 오래 "신선한"상태로 유지해야합니까?