密码哈希和对用户的支持

我们最近转向了更好的密码存储策略，它带来了所有的好处：

• 通过bCrypt后存储密码
• 系统会在创建帐户时向用户发送激活链接，以确认地址的所有权
• 忘记密码而没有安全问题，会将链接发送到他们的电子邮件。
• 该链接将在24小时后失效，此时他们将需要请求一个新的链接。
• 如果帐户是由我们的员工创建的，则会发送一封包含随机强密码的电子邮件。登录后，用户必须将其重置为我们不知道的东西，并且被密码加密了。

现在，这符合周围的“最佳实践”，但这增加了我们对不了解所有这些，而他们只想登录的普通用户的支持需求。

我们经常收到抱怨以下内容的用户的请求：

• 密码错误（从他们需要重设的密码开始，他们经常在密码的末尾粘贴一个空格）。他们告诉我们他们正在使用什么，但是我们无法告诉他们他们的实际密码是什么。
• 说他们没有收到我们发送给他们的电子邮件（激活，重置等）。通常情况并非如此，经过大量故障排除后，我们通常发现他们在电子邮件中打了错字，他们没有检查正确的电子邮件帐户，或者只是将其放入了垃圾邮件文件夹。

我们当然不能为他们尝试，因为我们没有密码。我们正在记录失败的尝试，但是我们也清除了他们使用的密码，因为它很可能是另一个帐户使用的密码，并且我们不想存储在纯文本日志文件中。这样，当他们报告问题时，我们几乎没有任何帮助。

我很好奇大多数人如何处理此类问题？

密码错误（从他们需要重设的密码开始，他们经常在密码的末尾粘贴一个空格）。他们告诉我们他们正在使用什么，但是我们无法告诉他们他们的实际密码是什么。

可修复，而可以通过包含一个一次性GUID的链接来进行修复，该GUID可以将其登录并强制其重置密码。不要强迫用户复制粘贴。（此外，为什么不在表单的密码末尾删除空格。）

说他们没有收到我们发送给他们的电子邮件（激活，重置等）。通常情况并非如此，经过大量故障排除后，我们通常发现他们在电子邮件中打了错字，他们没有检查正确的电子邮件帐户，或者只是将其放入了垃圾邮件文件夹。

确保您的外发电子邮件已消除垃圾邮件（可能在某些常用邮件服务上设置了测试帐户），记录了所有发生的情况，并可能在尝试重新设置用户名时将其报告给用户（例如，将邮件发送到johndoee @ gmail .com失败，找不到用户，您拼写正确吗？）。另外，请用户注意拼写和垃圾邮件问题。

另外，正如其他人所说，OpenID和其他第三方身份验证也是一种选择。

我想说的是使用第三方身份验证方法，例如Facebook，OpenID，Google ...适合您用户的任何方法。但是，如果您的用户忘记了您的密码，也许他们将无法使用第三方身份验证系统...

根据您的情况，您可能可以使用其他系统，例如SSL客户端证书（对于最终用户而言，它们绝对很难安装，但是如果这是一家公司并且可以自动安装，那就太好了），Windows SSO，移动应用等

您甚至需要这样做吗？您要做的第一件事就是确定您要保护的内容以及保护谁的人。也许付出最佳实践的代价并不值得，也许最佳实践甚至都无法阻止您的攻击者。

如果您要与NSA对抗，并拥有他们想要的东西，请放弃并让您的用户生活变得轻松。如果您有信用卡号，那么您将不得不忍受所需的安全级别所要求的问题，因为那里有坏蛋想要他们，并且会花时间和金钱来获取它们。它可以访问家庭相册，您是否需要所有安全性。

阅读有关Buce Scheiners的著作（秘密和谎言）的内容，这是理解安全性的一个良好的开端。

跳出来的第一件事是您的电子邮件将成为垃圾邮件。设置电子邮件以使其被视为真实电子邮件并非易事。我建议您研究如何阻止电子邮件被错误地标记（关于SO的单独问题？）

我建议的第二件事是为您的用户提供一键式启动网站/应用程序，以启动密码恢复电子邮件。拒绝通过电子邮件以外的任何其他方式来进行此操作，这是不安全的，并树立了错误的先例。

他们愿意打电话给您并大声告诉您密码，这一事实告诉您，对于这些用户而言，密码及其保护的信息并不重要。我绝对不会用银行密码来做任何这些事情。但是，有许多站点要求输入密码，而这些密码确实不值得使用。我为所有这些使用一个标准密码，并且越“嘿，那不是一个强密码”或“我们将为您设置一个密码并强迫您定期更改它”等等，我想使用的次数就越少该服务。我将与您生活中的“业务价值”人员进行简短的交谈，以了解实际上是否仅将纯文本保留在数据库中并根据要求通过电子邮件将其发送给其他人是否是更好的方法。

如果实际上这样做应该是安全的，那么您可以尝试使用我为我们编码的系统中的一位客户所做的事情。与对方通话时，进入数据库并将其电子邮件地址更改为您的电子邮件地址。然后上网并单击“忘记密码”。等待电子邮件，然后使用它登录。使用网站，将密码更改为“密码”或您在口头上同意客户的其他方式。将他们的电子邮件地址改回自己的地址，并告诉他们“所有设置，您的新密码现在处于活动状态！” 快乐的客户，您不必向他们解释发生了什么。

我过去在用户非常不识字的系统上使用的不得已的方法是将用户定向到屏幕，在屏幕上为他们提供了电话号码和确认号码。他们拨打了电话号码，通过手动方式验证了身份，然后阅读了确认信息。支持人员登录到一个单独的系统，输入该号码，然后获得第二个号码以退还给客户。客户使用第二个代码继续进入重置密码页面。该页面的客户端版本无法从支持人员的子网运行，并且支持屏幕也无法从客户端运行。

这不是安全的，因为支持人员可以使用vpn从一个位置运行两端，但是这足以进行审核，因为支持帐户被记录为对活动负责

也许通过实施不是INSANE的安全规则。这样一来，您得到的实际上就是安全性降低了，因为该系统很难使用，以至于您的客户将重新密码给您和他们的朋友，以使其正常工作！

您不能只向他们发送NORMAL链接，然后向其发送下面的密码。如果链接被电子邮件客户端断开，则只需在表单中显示一个字段“激活码” ...“键入电子邮件中的激活码” ... 5位数字，这样他们就不会将0误认为O，等等。4信用卡可以使用数字，并且您需要如此简单的登录政策？如果代码不起作用，请使用TRIMmed字符串重复检查？我想它不会降低它的安全性，对吗？:)

对我来说，它也经常发生...我双击密码，结尾空间被复制。对于我来说，为什么peple不能仅仅检查支票失败而无法删除结尾的白色字符，然后重复该过程，我还是无法相信？然后，也许切换字母大写框让我检查我是否不小心按下了CL。

您过于复杂了。不是“重置密码”和“初始密码” ...而是“确认码”和“输入确认号，我们发送给您的电子邮件”，“没有电子邮件？已发送至xxx@yyy.com，请检查再次发送垃圾邮件，仍然没有吗？重新发送确认电子邮件”。在HTML正文中的链接。http://xxx.com/conf-12345-mymail-gmail-com.html。没有邮件客户端将打破这一点。