Forgotten Password, como?

D

DarkWolfXP

Power Member
Boas, neste momento deparo-me numa situação que pelo qual necessito da vossa opinião...
O Forgotten password está a funcionar "bem" no site em que se encontra neste momento, quando digo bem é pk funciona, mas não funciona bem para o utilizador isto porque manda um mail com a password encriptada... e com isso o User não consegue fazer login...
Gostaria de saber quais as vias fiaveis para resolver esta questão...
Eu já pensei em criar um script em que ao introduzir o mail do utilizador, ele fazia o reset da password e enviava uma password aleatoria para o utilizador fazer login. Mas o que vejo de mal neste script é que ao criar este sistema, qualquer um que saiba o mail do utilizador, introduz e faz o reset da password do utilizador sem que ele saiba (apesar de ir um mail com a nova pass para o utilizador...) julgo que este sistema iria prejudicar o utilizador...
Alguma sugestão?
 
nao percebo kal e o teu problema, pq nao fazes cm todos os sites na net fazem?

- Aquando do registo o utilizador tem de selecionar uma pergunta (qual a cor preferida, nome de solteiro da mae, nome do animal de estimacao, etc) e dar resposta a mesma.
- Quando pede para recuperar a password, tem de responder a essa pergunta:

Se responder bem, gerar nova password aleatoria, enviar para o email do utilizador, e de seguida encripta-la na BD.
Se responder mal, não e feito reset nenhum, ele k entre em contacto c/ administracao e prove k a conta e dele...

----

Se nao keres estar obrigar tds a ter de escolher pergunta e resposta (por exemplo ja tens centenas de utilizadores registados e nao keres ter o trabalho de fazer uma nova pagina para obriga-los a responder a isso), tens outra solucao:

Quando o utilizador pede o reset, e enviado um email para o user apenas c/ link onde clica para confirmar o pedido de reset. Se carregar nesse link o sistema gere nova password e envia novo email com a mesma. Se nao carregar (um brincalhao a fazer reset de passwords de outros), nada acontece ;)
 
Última edição:
Pegando nessa segunda ideia, podias, em vez de gerar logo uma nova passowrd, enviar um e-mail de confirmação com um link para pedir a nova password.

Falando por mim, eu detesto os sistemas de Pergunta de Segurança, por duas simples razões: Primeiro, as perguntas tem que ser simples, com respostas simples (fáceis de lembrar), e normalmente qualquer pessoa mais próxima sabe responder; Segundo, se tentas por algo mais complicado para saltar o primeiro problema, é mais provável que não te lembres, logo, o sistema vai todo a vida.

Felizmente tenho visto cada vez menos este sistema implementado, e cada vez mais o de enviar por e-mail, que me parece ser bem mais eficaz.
 
Acho que a melhor opção é enviar um mail com um link em que tem um código encriptado para fazer reset à password.

Podias também mudar o modo de encriptação para tu poderes fazer a desencriptação, mas não é muito aconselhável, e se já está tudo implementado, não dá para mudar.
 
shello disse:
Falando por mim, eu detesto os sistemas de Pergunta de Segurança, por duas simples razões: Primeiro, as perguntas tem que ser simples, com respostas simples (fáceis de lembrar), e normalmente qualquer pessoa mais próxima sabe responder; Segundo, se tentas por algo mais complicado para saltar o primeiro problema, é mais provável que não te lembres, logo, o sistema vai todo a vida.
Clicar para expandir...
MM k eu saiba a resposta a tua pergunta não tem problema ja que a nova password e enviada para o teu email... teria de saber a resposta e a password da tua conta de email...

(embora alguns sites facam o reset e auto-login apos resposta valida, isso acho mal.)
 
Tens razão (e eu não tinha pensado por aí), mas continua a ser possível poder estar constantemente a mudar a tua password, tal como a segunda solução do primeiro post, em que sabes o mail e é-te enviada a password ;)

Um mail com um link de confirmação não se torna tão incomodativo.
 
epah se isso me acontecesse a 1ª coisa k fazia era mudar a resposta da pergunta ;)

mas sim, mais meia duzia de linhas de codigo pode evitar alguns incomodos :P
 
O teu problema tem a ver com o nível se segurança que optares para armazenar as passwords.

Se apenas tiverem encriptadas, ao recuperar a password podem ser desencriptadas e devolves a password original. Se for criada uma hash através de um algoritmo estilo SHA1, etc, então terás de fazer reset à password, enviar uma nova e ele depois altera-a.
 
Eu já pensei em criar um script em que ao introduzir o mail do utilizador, ele fazia o reset da password e enviava uma password aleatoria para o utilizador fazer login. Mas o que vejo de mal neste script é que ao criar este sistema, qualquer um que saiba o mail do utilizador, introduz e faz o reset da password do utilizador sem que ele saiba (apesar de ir um mail com a nova pass para o utilizador...) julgo que este sistema iria prejudicar o utilizador...
Clicar para expandir...
Em teoria sim. Mas na prática, quantos casos reais (não contando com histórias de amigos dos amigos dos irmãos da tia), em que tenha acontecido isso, conheces? Ou seja, vais resolver um problema que não existe ;-)

Lembra-te do seguinte: para o utilizador o mais 'chato' é ter de se autenticar. Isto é, porque a máquina é 'burra' eu tenho de constantemente dizer-lhe que eu sou eu. Se além disto, ainda me fazes perguntas, ou se me envias um e-mail com um link para dar uma cambalhota e dois passos atrás e mais um ao lado para certificar que de facto eu sou eu, só me deixas mais 'aborrecido'.
Resumindo: não te ponhas a resolver problemas onde não existem. Faz o mais simples (para o utilizador) e o mais seguro (para a integridade do sistema).

EDIT:
Se apenas tiverem encriptadas, ao recuperar a password podem ser desencriptadas e devolves a password original.
Clicar para expandir...
É evidente que isso é precisamente o que não se deve fazer. Eu não tenho a mínima confiança em nenhum sistema capaz de me dizer a minha password. Porque se é capaz de me dizer a mim, é capaz de dizer a outro.
 
Última edição:
infelizmente nunca sabes cm estao as coisas do outro lado, nao me admirava nd k mts sites tenham as pwds em plain text.
Clicar para expandir...
Isso é verdade.
Mas desde que _eu_ não saiba disso :-) e que as passwords estejam guardadas num ficheiro inacessível via web e que o host não seja partilhado e que só um sysadmin tenha acesso (local e remoto) à máquina e que só a porta 80 esteja à escuta e que não chova e que seja o dia em que o rei faz anos... eu até nem me importo com isso :-)
 
Inicie sessão ou registe-se para poder participar.
Back
Topo