网站“取回密码”的功能是怎么实现的?
数据表里记录的都是MD5后的值啊,难道“有另外的地方存的明文”,用户“取回密码”的时候,就~~~
问题是,用户没有密码,怎么证明“TA是TA”的呢???
阿神2017-04-10 17:27:58
1,能取回明文密码的要么是存的明文,要么存的是对称加密后的密码。都是有风险的。所以绝大部分网站都是只有重置密码的功能。
2,么证明“TA是TA”的呢?网站不管操作的人到底是谁,只认注册时候的手机或邮箱,只要你拥有此手机或邮箱,你就可以重置密码。
大家讲道理2017-04-10 17:27:58
至少在取回密码上是有一个其他方式的用户信息鉴定的!比如邮箱的验证码,激活邮件、手机短信校验等等,那么当这些信息和你的验证码经过鉴定是能够保证你确实能够操作当前这个需要获取密码的账号!另外,要注意:正如你所说,密码都是加密后的密文,没有哪个平台会直接给你把密码返回给你!这样就只能提现这个网站太不厚道~赶紧走掉吧。
在上一步骤返回的信息鉴定成功之后,平台系统会对你的密码进行重置,一般最靠谱的是会给你发一个随机组合的字符串作为新密码,你去登陆后修改;
目前就是这样的步骤大家讲道理2017-04-10 17:27:58
取回秘密从来不应该显示用户密码或者把密码发送到用户邮箱,那只说明网站以明文保存了用户密码,遇到这种网站,你还是注销了吧。
正常的做法应该让用户提供新的密码,当然只能通过认证过的邮箱或者手机来进行。
