5 Stimmen

OM The Eternity avatar

Ich habe ein md5-verschlüsseltes Passwort, wie kann ich dem Benutzer das Passwort geben, wenn er "Passwort vergessen" benutzt?

Gefragt el 13 de Dezember, 2010
Wann wurde die Frage gestellt
3283 Ansichten
Anzahl der Besuche der Frage
5 Antworten
Anzahl der Fragenantworten
Gelöst
Aktueller Status der Frage

Ich habe einen Datenbankeintrag für das Passwort im md5-Format, aber wenn der Benutzer die Funktion "Passwort vergessen" verwendet, wie kann ich ihm/ihr dann das gewünschte Passwort geben?

Gefragt el 13 de Dezember, 2010 von OM The Eternity

Antworten

Zu viele Anzeigen?

12voto

Marcelo Cantos avatar
Marcelo Cantos Punkte 173498

Das ist mit einem MD5-Hash nicht möglich und sollte auch nicht möglich sein. Die Wiederherstellung von Passwörtern sollte unlösbar sein.

Das übliche Verfahren besteht darin, ein Passwort-Rücksetzungs-Token (URL) an die E-Mail-Adresse zu senden, damit der Benutzer ein neues Passwort wählen kann.

Beantwortet el 13 de Dezember, 2010 von Marcelo Cantos (173498 Punkte )

3voto

John Parker avatar
John Parker Punkte 53226

Das geht nicht - MD5 ist lediglich ein "Einweg"-Hash - kein Mittel zur Verschlüsselung von Daten, die anschließend wieder entschlüsselt werden können.

Der Grundgedanke ist also folgender:

  1. Senden Sie dem Benutzer eine E-Mail an seine registrierte Adresse mit einem Link zum Zurücksetzen. (Um zu beweisen, dass sie die Adresse tatsächlich besitzen.) Der Rücksetzungslink sollte einen Hash enthalten, der auf einem Aspekt ihrer spezifischen Benutzerdaten basiert, damit er nicht einfach erraten werden kann, usw. (z. B.: Zeitpunkt der Kontoerstellung.)

  2. Wenn der Benutzer auf den Link klickt, landet er auf einer Seite zum Zurücksetzen des Kennworts, die den obigen Hash überprüft, ein neues Kennwort generiert (idealerweise eine Mischung aus Groß- und Kleinbuchstaben und einigen numerischen Zeichen, obwohl ich der Übersichtlichkeit halber immer dazu neige, Zeichen wie "0", "o", "O" usw. wegzulassen) und dem Benutzer dann das neue Kennwort in einer E-Mail schickt und ihn darauf hinweist, dass er dieses Kennwort so bald wie möglich ändern sollte.

Der Benutzer kann sich dann anmelden und wie gewohnt auf die Website zugreifen.

Beantwortet el 13 de Dezember, 2010 von John Parker (53226 Punkte )

2voto

terminus avatar
terminus Punkte 12817

Das geht nicht, ohne dass das Passwort in die Datenbank aufgenommen wird, was nicht erwünscht ist, aber Sie können ihm/ihr ein neues Passwort erstellen und es ihm/ihr schicken. Oder einen Link, über den sie ihr Passwort zurücksetzen können.

Beantwortet el 13 de Dezember, 2010 von terminus (12817 Punkte )

2voto

Chandresh M avatar
Chandresh M Punkte 3816

Müssen Sie eine new password dem Benutzer mitgeteilt und dann auch in die Datenbank eingegeben werden. Andernfalls kann das ursprüngliche Passwort nicht wiederhergestellt werden.

Gracias.

Beantwortet el 13 de Dezember, 2010 von Chandresh M (3816 Punkte )

1voto

Ruel avatar
Ruel Punkte 14969

Bei der Länge des Kennworts haben Sie eine 1/100 Chance, das Kennwort wiederherzustellen (Wörterbuchmethode). Ich würde das nicht empfehlen.

Es ist besser, ein neues, zufälliges Passwort zu generieren und es an die E-Mail-Adresse des Benutzers zu senden.

Beantwortet el 13 de Dezember, 2010 von Ruel (14969 Punkte )

Verwandte Fragen

Empfohlene Fragen

Top-Tags

CodeJaeger.com

CodeJaeger ist eine Gemeinschaft für Programmierer, die täglich Hilfe erhalten..
Wir haben viele Inhalte, und Sie können auch Ihre eigenen Fragen stellen oder die Fragen anderer Leute lösen.

Powered by:

Yandex
X