5
如果他们永不过期会有什么大问题吗?为什么我们要让帐户激活/密码重置链接在一段时间后过期?
有人忘记了他的密码并要求重置他的密码,一封带有密码重置链接的电子邮件发送给他。
然后他突然记起他的密码,所以他只是忽略密码重置电子邮件。但几天后,他又一次忘了。由于他的邮箱中已经有密码重置电子邮件,他只需点击该链接即可返回网站重置密码。
这似乎没问题,那么为什么我们要让帐户激活/密码重置链接在一段时间后过期?
A
回答
7
如果他们的电子邮件帐户被盗用会怎么样。攻击者随后会看到所有这些“密码重置”链接,并通过点击进一步损害更多帐户。其中可能会使用真钱或信用卡信息的服务。
+6
如果他的电子邮件帐户遭到入侵并且攻击者看到该电子邮件,即使该链接不是永久链接并且已经过期,他仍然可以访问该网站并请求密码重置电子邮件,因此攻击者仍然可以妥协帐户。 – bobo 2010-12-23 08:58:56
相关问题
- 1. 在Wordpress上注册帐户后没有发送激活链接
- 2. 创建密码重置链接,在PHP中过期24小时
- 3. 为什么在激活SSL后WordPress图片链接不出现?
- 4. 如何创建一个链接,让用户在设计时签入时重置他们的密码?
- 5. 密码重置链接有效日期
- 6. 重置Meteor帐户密码后禁用登录 - 密码
- 7. 在时间段内激活
- 8. 注册后激活用户帐户
- 9. 为什么我在尝试通过POP3连接时收到一些Hotmail帐户的无效密码?
- 10. 为什么Django注册使用“激活窗口”来激活帐户?
- 11. 帐户激活PHP
- 12. 让文件加密让我们知道客户端软件被激活了吗?
- 13. 当我们激活它时,为什么Word没有出现?
- 14. 是否需要手动激活和密码重置页面?
- 15. 检查用户是否通过电子邮件激活了他们的帐户,并在点击激活链接后显示消息PHP/JavaScript
- 16. IdentityServer:帐户激活后登录
- 17. 未激活帐户的HTTP状态码?
- 18. Shopify创建用户帐户需要激活有时
- 19. 如何让用户通过设计确认电子邮件链接本地激活帐户
- 20. 帐户激活后需要自动登录吗?
- 21. 如何激活AdSense帐户?
- 22. PHP帐户激活逻辑
- 23. Authlogic帐户激活轨道
- 24. 激活和停用帐户
- 25. PHP帐户激活问题
- 26. 如何设置django注册帐户需要手动激活?
- 27. 过程激活时间
- 28. 为什么手机在重新启动后需要密码,甚至不设置?
- 29. 密码重置令牌的过期时间
- 30. 我为什么要在'忘记密码'页面上使用过期令牌?
这是其中过期(涉及安全和隐私问题)的潜在优势超过缺点的情况之一(在您的示例中,用户不必返回并请求其他密码重置)。除非你有充分的理由*不要*,否则请遵守标准。 – 2010-12-23 04:32:27