Quelques suggestions:

Ne réinitialisez pas le mot de passe de l'utilisateur avant d'être confirmé. Ne réinitialisez pas immédiatement le mot de passe de l'utilisateur. Ne le réinitialisez que lorsque l'utilisateur clique sur un lien de confirmation envoyé à son adresse e-mail pré-enregistrée.

Exiger un CAPTCHA. Lorsqu'un utilisateur demande que son mot de passe soit réinitialisé, forcez-le pour résoudre un CAPTCHA avant de continuer. Cela évite aux outils automatisés d'essayer de semer le chagrin de nombreux utilisateurs et l'oblige à prouver qu'il est un humain (pas un robot).

Aléatoire. La durée limitée L'URL de réinitialisation du mot de passe doit inclure un composant aléatoire et impossible à deviner. Assurez-vous d'utiliser un caractère aléatoire de qualité cryptographique. La sortie de / dev / urandom ou System.Security.Cryptography.RNGCryptoServiceProvider serait un bon choix. La sortie de rand () ou random () ou System.Random n'est pas assez aléatoire et serait un mauvais choix. Un GUID ou un horodatage n'est pas assez aléatoire et ne serait pas un bon choix.

Inclure une limite de temps. Le lien de confirmation de réinitialisation devrait expirer après un délai raisonnable: disons 24 heures . Le lien ne doit être utilisable qu'une seule fois et doit expirer immédiatement dès qu'il est utilisé.

Inclure un texte explicatif dans l'e-mail. Vous pouvez ajouter un texte explicatif au e-mail, pour expliquer pourquoi l'e-mail a été envoyé, au cas où quelqu'un demanderait une réinitialisation pour un compte qui n'est pas le vôtre. Vous pouvez inclure du texte comme "Quelqu'un a demandé que le mot de passe soit réinitialisé pour votre compte nom d'utilisateur sur site . Si vous avez fait cette demande, cliquez ici pour changer votre mot de passe. Si vous n'avez pas fait cette demande, cliquez ici pour annuler la demande. "

Envoyez un e-mail une fois le mot de passe réinitialisé. Une fois le mot de passe réinitialisé, envoyez un e-mail à l'utilisateur à faites-leur savoir que le mot de passe a été modifié. N'incluez pas le nouveau mot de passe dans cet e-mail.

Surveiller les annulations. Vous pouvez envisager d'inclure une logique pour surveiller la fréquence à laquelle les utilisateurs cliquent sur le lien d'annulation indiquant qu'ils n'ont pas demandé de réinitialisation. Si cela dépasse un certain seuil, il peut être utile d'envoyer une alerte aux opérateurs système. De plus, si un lien d'annulation pour une demande est visité après le lien de confirmation est visité, c'est une indication potentielle d'une attaque contre cet utilisateur - vous pouvez prendre des mesures à ce stade, par exemple, invalider le mot de passe de l'utilisateur et leur demander de réinitialiser à nouveau leur mot de passe. (Il s'agit d'une défense contre l'attaque suivante: l'attaquant accède à la boîte aux lettres de l'utilisateur, demande alors que son mot de passe sur votre site soit réinitialisé, puis visite le lien de confirmation. Si l'attaquant ne supprime pas ces e-mails de la boîte de réception de l'utilisateur, puis, lorsque l'utilisateur réel lit son e-mail, il peut cliquer sur le lien d'annulation, ce qui vous indique un problème éventuel.)

Utilisez HTTPS. Le lien doit utiliser https (et non http :), pour se protéger contre diverses attaques (par exemple, les attaques Firesheep sur les utilisateurs surfant sur le Web à partir d'un café Internet).

Consigner ces opérations. Je suggère de consigner toutes ces demandes. En plus de consigner le nom d'utilisateur de l'utilisateur, vous pouvez enregistrer l'adresse IP du client qui a demandé qu'un lien de réinitialisation soit envoyé par courrier électronique à l'utilisateur, ainsi que l'adresse IP du client qui a visité le lien de réinitialisation.

Lectures supplémentaires. Vous pouvez également lire l'excellent article de blog de Troy Hunt, Tout ce que vous avez toujours voulu savoir sur la création d'une fonction de réinitialisation de mot de passe sécurisée. Merci à @coryT pour un lien vers cette ressource.

Enfin, envisagez l'authentification sans mot de passe. Les mots de passe posent de nombreux problèmes en tant que mécanisme d'authentification, et vous pouvez envisager d'autres méthodes d'authentification des utilisateurs, telles que le stockage d'un cookie persistant sécurisé sur leur ordinateur avec un élément impossible à deviner secret pour les authentifier. De cette façon, il n'y a pas de mot de passe à oublier et aucun moyen pour l'utilisateur d'être hameçonné, bien que vous deviez fournir un moyen pour un utilisateur d'autoriser l'accès à partir d'une nouvelle machine ou d'un nouveau navigateur (éventuellement par e-mail au pré- adresse e-mail enregistrée). Ce document d'enquête contient une excellente étude de nombreuses méthodes d'authentification de secours et de leurs forces et faiblesses.

Troy Hunt a un très bon article sur cette question exacte. Tout ce que vous avez toujours voulu savoir sur la création d'une fonction de réinitialisation de mot de passe sécurisée

OK, donc votre question est la suivante: comment devez-vous structurer le processus de récupération de mot de passe / compte? Cela dépendra de ce que vous souhaitez optimiser: une expérience utilisateur sans tracas ou une bonne sécurité.

Si vous voulez une bonne sécurité:

• Lors de l'inscription, l'utilisateur doit entrer son adresse e-mail.

• Lors de l'inscription, l'utilisateur doit entrer un canal secondaire pour l'authentification - numéro de téléphone portable ou question de défi & réponse (c'est-à-dire " quoi le nom de jeune fille de votre mère "ou mieux).

• Pendant la récupération, votre système obtient d'abord une vérification approximative de l'identité au moyen du canal secondaire ci-dessus - le défi question, ou en envoyant un code par SMS sur le téléphone mobile, ou similaire.

• Lorsque le premier contrôle d'identité ci-dessus est effacé, le système envoie un e-mail de réinitialisation du mot de passe à l'adresse e-mail précédemment saisie uniquement . Il s'agit d'une mesure supplémentaire importante pour empêcher f.x. Exploits de type Sarah Palin.

• L'e-mail ne doit pas contenir un nouveau mot de passe ou similaire. Il doit contenir un lien cliquable vers une page Web cryptée HTTPS sur votre site qui a) est liée au compte via une valeur secrète non-devinable fournie dans l'URL, b) est limité dans le temps, de sorte que la récupération du compte ne fonctionne que pendant x heures après sa demande, c) fournit un moyen pour l'utilisateur final de créer un nouveau mot de passe.

• Ayez une bonne journalisation sur toutes les transactions de réinitialisation de compte, et demandez à un être humain de les surveiller et d'agir si elles semblent suspectes (regardez les journaux du serveur pour les adresses IP fx, faites de nombreuses demandes proviennent de la même adresse IP, existe-t-il des cas où un utilisateur tente de réinitialiser les mots de passe d'un pays différent de celui du propriétaire du compte enregistré, etc.).

Vous pouvez également contourner complètement cette complexité: Il est encore tôt, mais OAuth / OpenID / connexion via Facebook, Google, etc. supprime complètement cette complexité de vos systèmes, mais avec un peut-être convivialité moins bien établie.

N'importe quel endroit qui peut vous envoyer un mot de passe signifie qu'ils ne hachent pas le mot de passe, mais le stockent là où il est en quelque sorte déchiffrable en «texte clair». Ceci en soi est mauvais.

Probablement pas "le plus" sécurisé, mais plus sécurisé serait de:

Sur demande de mot de passe, envoyer un lien de réinitialisation de mot de passe à l'utilisateur avec GUID intégré. La session dans le GUID expire dans, hmm, heure environ.

Une autre méthode qui peut ou non être appropriée pour votre application, mais qui est utilisée dans les applications bancaires en ligne et des types de choses similaires, consiste à envoyer la moitié du code de réinitialisation par SMS à un téléphone mobile enregistré. Du point de vue de l'attaquant, il s'agit d'un PITA complet car il nécessite le compromis de quelques canaux pour se briser.

Le moyen le plus sûr d'effectuer une réinitialisation de mot de passe est de générer un grand jeton de réinitialisation unique aléatoire unique, avec une date d'expiration, liée à l'ID utilisateur. Le jeton doit être haché dans la base de données, car un attaquant disposant d'un accès SQL pourrait l'utiliser pour réinitialiser des mots de passe d'utilisateurs arbitraires.

Un lien de réinitialisation doit être envoyé à l'adresse e-mail, contenant le jeton de réinitialisation. Lorsque l'utilisateur clique sur le lien, le hachage du jeton doit être trouvé dans la base de données et la date d'expiration doit être vérifiée dans le futur. Si ces conditions sont remplies, l'utilisateur doit être présenté avec un écran qui lui permet de saisir un nouveau mot de passe.

L'ensemble de ce processus doit être effectué via SSL, sinon un attaquant peut renifler l'URL et réinitialiser le mot de passe avant que l'utilisateur ne le fasse.

Quelques autres conseils:

1. Des questions secrètes, un inconvénient mineur pour les attaquants et un ennui majeur pour les utilisateurs. Évitez-les complètement.
2. Présentez à l'utilisateur un défi de vérification humaine (par exemple un CAPTCHA) avant d'envoyer la réinitialisation du mot de passe. Cela empêche les demandes de réinitialisation automatique.
3. Vérifiez si l'adresse IP effectuant la réinitialisation est celle qui s'est connectée avec succès au compte précédemment. Si ce n'est pas le cas, demandez plus de détails sur le compte / l'utilisateur, par exemple année de création du compte, date de naissance, première ligne d'adresse.
4. Ajoutez un lien "Je n'ai pas demandé cet e-mail", afin que les utilisateurs puissent signaler des demandes de réinitialisation de mot de passe erronées.
ol >

Authentification à 2 facteurs par SMS! 1 vous connaissez le client et son numéro de portable, envoyez-leur un code unique à ajouter sur le site pour valider que c'est bien eux :)

Faites-en une procédure en quelques étapes. Par exemple, quelque chose comme ceci:

1. L'utilisateur a oublié son mot de passe. Il clique sur le bouton «J'ai oublié mon mot de passe, envoyez-moi un e-mail que faire ensuite» (le libellé du bouton peut différer;))
2. Votre serveur lui envoie un lien www.yourdomain.com/lostpassword?param_1 = x; param_2 = y
3. Il clique sur le lien et est capable de se créer un nouveau mot de passe
4. Il clique sur Soumettre. Tout est fait. Tout le monde est content

Un seul et unique piège est au point 3). Les valeurs X et Y doivent être aléatoires, imprévisibles et liées à ce compte particulier. Ils devraient également être à usage unique et devraient devenir obsolètes après une courte période (24 heures?). Stockez les deux valeurs dans une table dédiée avec les colonnes correspondantes:

  | some_id | user_id | X | Y | expire_time  

Si un utilisateur essaie d'utiliser le lien approprié, vérifiez si le délai d'expiration n'est pas respecté et sinon, permettez-lui de changer le mot de passe.