忘记密码码型或技巧？模式名称？

Question

我的朋友我的刚刚张贴在Buzz发布了一个问题：

在大部分的网页当你点击“忘记密码”，他们 会向您发送一封电子邮件，链接 （大部分时间它有时会在 之后到期）重置您的通行证。在大多数 的情况下，链接包括类似于UUID的东西 。有没有这个 技术的名称？制作可过期的网址/ 链接？我将这样做的方式只是 生成一个UUID，或者更简单一些 并以编程方式执行所有到期的东西 。我想知道 是否有这种 技术的名称？

读他的问题后，我现在很好奇一样，这种技术已经有了一个名字，或者更好的，它已经被视为全球社会的模式？

Answer 1

您可以使用身份验证令牌调用此Self-service password reset。

---

资源：

• www.goodsecurityquestions.com

Answer 2

我相信UI模式的名称是 “密码重置模式” 或 “忘记密码模式”。

其中一个最糟糕的实现是您回答“安全”问题以重置密码，因为它们确实不安全，因为Colin Hebert指出的链接为says。

其中一个最好的实现是Amiando要求用户的电子邮件地址和新密码，然后通过电子邮件发送确认以确认新密码。有关this博客的更多信息。

用户通过电子邮件或其他个人媒体（如手机短信）（不太常见）确认其身份非常重要。

此模式的其他实施例here。

Answer 3

这是基本的模式，我在我的应用程序去：

1. 用户输入用户名或电子邮件并点击“重设密码”通过电子邮件发送给用户
2. 一次性令牌网址（可以在几小时后过期）。
3. 用户必须在电子邮件中点击链接。然后
4. 用户被确认后

通过电子邮件发送一个随机生成的密码，然后他们就可以用这个密码登录或改变它，一旦他们登录（可选）

我觉得这是从安全角度最好以及如同最终用户一样易于使用。