我最初在此线程中将其作为回复发布,但没有得到太多反馈,现在我很好奇其他人认为什么是最好的方法,或者这两种方法之间是否有任何区别。
最初的观点是当用户忘记网站密码时发送密码重置链接是否更安全,或者是否在电子邮件中发送未加密的原始密码。
现在不加盐和加密密码是不好的,因为当数据库最终从网站上被盗时,攻击者将清除所有密码。好的好的,我明白了。
但是如果我们忽略数据库被盗的可能性,只看用户忘记密码并经历“忘记密码的步骤”;通过电子邮件中的纯文本密码发送重置链接是更安全还是更安全?
我的想法是一样的。因为如果攻击者可以通过任何方式访问您的电子邮件(他知道您的电子邮件登录详细信息,或者他正在窥探某处的流量),他因此可以访问发送的纯文本密码或重置链接 - 即使是有限的时间关联。
攻击者甚至可以在您知道自己有电子邮件之前重置您的密码。
我在这里的想法有缺陷吗?
访问现有的电子邮件语料库比访问传入的流要简单得多。例如,获得对某人系统的几分钟访问权可以轻松搜索他们的电子邮件。因此,对于攻击者可以访问旧邮件但不能访问新传入邮件流的情况:
您依赖用户在收到密码后更改密码(不太可能,因为您已经告诉他们密码是什么),或者删除(永久,不存档或移动到“垃圾”文件夹,也不太可能)提醒信息。
如果这没有发生,那么如果我稍后可以访问用户的电子邮件帐户,那么(有限时间/有限使用,甚至可能受到限制,攻击者无法轻易使用它)重置链接将不会是任何对我有用,但肯定有(很可能仍然有效)密码。
此外,通过向我发送纯文本密码,您可以证明您已将其存储在可访问的地方。在大多数情况下,不需要这样做,因为您不需要加密密码(和盐/胡椒),您只需要对其进行哈希处理。如果它是加密的,那么任何有权访问数据库和解密密钥的人(例如,可能是大多数员工,或者任何窃取数据库代码的人)都能够获得纯文本密码。如果它是散列的,那么你必须在散列发生之前得到它(例如在登录会话期间)。
此外,尽管人们不应该这样做,但在多个站点上使用相同的密码(或非常相似的密码)是很常见的。这意味着您不是提供一种只进入一个帐户的方法,而是提供一种进入多个帐户的方法。
对于另一种情况,攻击者可以访问所有传入的邮件(甚至可能在用户看到之前删除传入的邮件),这些都不安全。电子邮件帐户是高风险的,因为如果您有这种访问权限,那么您很可能会访问用户拥有帐户的每个站点,并生成密码重置。为避免这种情况,您需要使用除(或以及)您的电子邮件帐户之外的其他东西来获得访问权限,例如双重身份验证。
请注意,即使在后一种情况下,重置链接仍然更好:如果攻击者通过重置链接更改用户的密码,那么当用户尝试登录时,他们会发现有问题(为时已晚,但至少他们知道)。如果您只是提供密码,那么用户不知道攻击者已经悄悄地获得了访问权限。
好的,忽略密码以纯文本形式存储的事实,直接进入问题:. 密码是一种长期有效的凭证,而密码重置链接可以通过不同的方式限定范围:
还应该注意的是,旧密码可能在您的站点不再有效,但对客户可能仍然非常敏感,因为人们在各种服务中重复使用密码。
从这方面来说,将密码放在人们的邮箱中可能被认为是一种粗鲁的行为。
值得补充的是,如果您确实以明文形式发送用户密码,您可能会发送他们也在其他网站上使用的密码 - 即使您强制用户在下次登录时更改您网站上的密码,您也没有给他们任何好处一点也不。
如果您对用户有丝毫顾虑,那么以明文形式存储密码是不道德的。您应该存储安全的加盐哈希。发送明文密码可能会导致有安全意识的用户停止使用您的服务(即使有安全意识的用户不会重复使用密码;他们只是不喜欢支持公然无安全意识的服务)。
至于如何实现密码重置;通常对于一个中等安全的网站(比如信用卡),您要求他们回答一些基本的安全问题(例如,母亲的娘家姓)并验证他们是否可以控制他们的电子邮件帐户或电话号码,作为一种双重身份验证的形式。链接应该只在很短的时间窗口(几小时到几天)内有效,并且只有效一次(例如,包括一个随机创建的令牌,该令牌在首次使用后和一段时间后过期)。
您还通知他们密码已被重置(即使他们的电子邮件被泄露;当他们无法再使用旧密码登录时,他们会发现攻击者的证据)。发送密码(不更改密码)意味着这种攻击可以在用户不知道的情况下悄悄进行(如果说电子邮件被删除了)。