J'ai une application web simple où les administrateurs peuvent créer des utilisateurs. Les utilisateurs ne créent pas eux-mêmes. Tout ce qu'un administrateur doit faire est d'entrer un nom d'utilisateur et un e-mail et un mot de passe temporaire est envoyé à l'utilisateur pour qu'il se connecte. Cet e-mail est envoyé au format texte brut. Si l'utilisateur se connecte pour la première fois, il doit changer son mot de passe et entrer une question et une réponse de sécurité. L'utilisateur doit évidemment connaître son mot de passe temporaire pour se connecter pour la première fois et c'est la seule façon que je connaisse de le faire savoir (par e-mail). L'autre option serait que l'administrateur appelle l'utilisateur et lui dise par téléphone ou en personne son mot de passe temporaire, mais ce n'est pas pratique. Comment pourrais-je gérer une situation comme celle-ci?Sécurisation des mots de passe temporaires envoyés par e-mail aux utilisateurs?
Répondre
J'utilise généralement une URL temporaire basée sur un enregistrement d'invitation à l'arrière-plan. Essentiellement, vous créez un enregistrement d'invitation et générez un hachage basé sur certaines informations, par exemple l'adresse e-mail de l'utilisateur, un horodatage et une valeur aléatoire. Enregistrez le hachage dans le cadre de l'enregistrement d'invitation, puis envoyez-lui une URL avec le hachage comme paramètre.
Lorsqu'ils cliquent sur le lien recherchez l'invitation et validez qu'elle existe et qu'elle n'a pas été utilisée, autorisez-les à configurer leur mot de passe et à invalider l'invitation.
Il se débarrasse de la nécessité d'envoyer n'importe quel mot de passe et vous pouvez définir une expiration sur vos enregistrements d'invitation si vous le souhaitez également.
Que voulez-vous dire par enregistrement d'invitation? – Xaisoft
Par enregistrement d'invitation, j'entends un enregistrement de base de données qui enregistrerait le hash d'invitation, l'adresse e-mail de l'utilisateur et les informations d'horodatage et/ou d'expiration de l'invitation. – paulthenerd
Le scénario que vous décrivez est très courant. Il envoie un mot de passe temporaire par courrier électronique et exige qu'il soit modifié lors de la première connexion. Sauf si vous avez un problème spécifique avec ce modèle, je ne vois aucune raison de ne pas l'utiliser. Ayant un appel d'administrateur, les utilisateurs peuvent se compliquer. J'éviterais cela à tout prix.
Oui l'appel de l'administrateur irait probablement pisser l'administrateur si vous leur aviez dit qu'ils devaient le faire. J'étais simplement curieux de savoir s'il y avait des façons d'ajouter un niveau de sécurité supplémentaire, donc je peux être un peu plus sûr que c'est la personne à qui j'ai envoyé le mot de passe temporaire qui change réellement son mot de passe. – Xaisoft
Vous pouvez générer une URL personnalisée avec un mot de passe et un hachage utilisateur comme argument où l'utilisateur doit se connecter. Le hachage sera difficile à récupérer si l'attaquant n'a pas l'information
- 1. Sécurisation des mots de passe dans le problème de configuration
- 2. Gestion des utilisateurs et des mots de passe Git
- 3. Envoyer email des utilisateurs compte
- 4. Chiffrement des mots de passe
- 5. Utilisateurs d'appartenance asp.net avec mots de passe et ceux sans
- 6. LINQ to SQL - convertir les utilisateurs temporaires en utilisateurs réels
- 7. Mots de passe prononçables?
- 8. Traitement sécurisé des mots de passe
- 9. Création hash des mots de passe
- 10. Considérations de conception pour les employés par rapport aux utilisateurs
- 11. Obtenir les utilisateurs email id
- 12. SSIS et mots de passe
- 13. Comment comparer les mots de passe des utilisateurs pour se connecter avec ce code?
- 14. Dans la sécurisation simple email formulaire de contact
- 15. Comment protéger un répertoire par mot de passe tout en donnant accès aux utilisateurs
- 16. Comment générer automatiquement des mots de passe dans Rails Devise?
- 17. Union Platform: Sécurisation du mot de passe administrateur
- 18. Créer un mot de passe et des mots de passealtern
- 19. Hashing mots de passe tomcat
- 20. Mappage des sessions aux utilisateurs
- 21. Stockage des mots de passe pour les services tiers
- 22. tsql- mots de passe forts
- 23. Donner aux utilisateurs MySQL des permissions limitées
- 24. Hashing mots de passe utilisateur
- 25. Gestion des mots de passe tiers avec intégration complète
- 26. Avec CTE est identique aux tables temporaires?
- 27. postfix: Comment envoyer des emails aux utilisateurs
- 28. Messages envoyés par l'utilisateur dans wordpress 3.0
- 29. Validation forcée des mots de passe vides dans Authlogic
- 30. Synchronisation des messages envoyés/reçus par chat XMPP
Est-ce la sécurité de l'e-mail qui vous préoccupe? – JasonS