忘记密码模式或技巧？ ¿ 模式名称？

Question

我的朋友刚刚在 Buzz 上发布了一个问题：

当您在大多数页面中点击“忘记密码”时，他们 将向您发送一封包含链接的电子邮件 （大多数情况下它会在之后过期 有时）重置您的通行证。多数情况 链接包含某些内容的案例 就像一个 UUID。这个有名字吗 技术？制作一个可过期的网址 / 关联？我这样做的方式就是 生成 UUID 或其他东西 更简单，做所有过期的东西 以编程方式。我想知道如果 这种有一个名字 技术？

读完他的问题后，我现在很好奇，这种技术已经有了名字，或者更好的是，它已经被认为是全球社区的一种模式？

Answer 1

您可以使用身份验证令牌调用此Self-service password reset。

---

资源：

• www.goodsecurityquestions.com

Answer 2

我相信 UI 模式的名称是“密码重置模式”或“忘记密码模式”。

最糟糕的实现之一是您回答“安全”问题以重置密码，因为它们确实不安全，正如 Colin Hebert says 指出的链接。

最好的实现之一是 Amiando 要求用户提供电子邮件地址和新密码，然后通过电子邮件发送确认以确认新密码。有关this 博客的更多信息。

用户通过电子邮件或其他个人媒体（如手机短信）确认其身份非常重要（不太常见）。

此模式here 的其他实现示例。

Answer 3

这是我将在我的应用程序中使用的基本模式：

1. 用户输入用户名或邮箱并点击“重置密码”
2. 通过电子邮件发送给该用户的一次性令牌 URL（这可能会在几 小时）。
3. 用户必须点击电子邮件中的链接。
4. 确认后，用户会通过电子邮件收到随机生成的密码

然后他们可以使用此密码登录或在登录后更改密码（可选）

我认为从安全角度来看这是最好的，并且对最终用户来说易于使用。