[Vlad Drakula]

mar
лучьше высыдвть некую хитрую урлу по заходу на которую предлагается ввести новый пароль.
естественно время ее действия должно быть ограничено!

[mar]

я пока решила так:
- человек вводит логин
- генерируется хеш из логина, издевательста над microtime и еще чего-нибудь
- из хеша откусывается довольно длинная часть, но не сначала и не до конца
- это отправляется на введенный при регистрации e-mail вместе со ссылкой на страницу восстановления
- + заностся в базу (user_id, code, timestamp) (или user_id, mictotime - код высчитываем опять на стороне сервера) - можно туда же еще сессию (?)
- человек приходит по ссылке, вводит логин-код и может менять пароль

вопрос - что безопасней класть в базу?

[Prisoner]

Может быть лучше на это мыло отслать короткий вопрос вроде "вы, или кто-то иной, запросили изменение пароля для вашего аккаунта. Если это ваше действие, то пройдите по этой ссылке (в результате работы именно этой ссылки будет сгенерен новый пасс)". Слабая сторона этого метода, что можно заспамить такого рода запросами известное мыло и сильно грузануть сервер генерируя такого рода запросы автоматом. Но в данном случае все просто решается показом цифирь на картинке и просьбой ввести оные на первом шаге. Вторым будет работа как раз "этой ссылки" с собственно изменением пароля и отсылкой его на мыло. Тут нать хранить только сессию запроса на изменение (id которой и передаем в теле "этой ссылки").

[mar]

Prisoner
может быть.

тем более, что в "моем" варианте есть одна весьма слабая сторона (т.е. недаработанная) - надо как-то специально защищать страницу изменения пароля
(в нормальной ситуации это место вообще разрешено даже для просмотра только самому юзеру, или админам (по фоновой проверке пароля).

так что, может быть гибрид предложенных вариантов - по ссылке (а сгенеренный выше код может быть в GET-е ссылки) - генерить новый пасс.

причем, наверное, надо действительно еще и картинками защищаться. (на всех стадиях)

[Vlad Drakula]

mar
если чувак имеет доступ к базе то ничего он него не спасет...

все зависит того на сколь дорого допустить потерю пароля? (какие предпгологаемые убытки в случае взлома!)(и мыло тоже можно взломать и перехватить...)

[vadimiron]

mar
У меня в данный момент этот вопрос стоит ещё острей, так как мы работаем с мобильными телефонами и пароль шлём по СМС, поэтому если ктото включить автомат и будет слать на мобильники с сайта новые пароли, то нам будут большие убытки. Хотя единственный большой плюс, что нигде зарегистрированные номера не показываются.
Но всё равно наверно нужно защищаться "картинками" на всех стадиях и также мы думали ввести ограничение на восстановление пароля и другие подобные телодвижения, чтото типа 3 раза в сутки

[mar]

Vlad Drakula
ну, с учетом, того, что написал vadimiron, предлагаю вырабатывать алгоритм "для вообще" - по-максимуму, а уж минимум как-нибудь точно можно обеспечить.
vadimiron
у меня там e-mail оказывается в зашифрованном виде (т.е. относительно ботоустойчиво, но человек прочесть может. Просто система не очень новая - тогда проблем было много меньше)
По поводу ограничения по времени - идея хороша. тем более, что никто и ничто не мешает юзеру в случае чего написать в поддержку. (Пожалуй, даже и 3 раза в сутки терять пароль - многовато )

[mar]

Да, еще фишка. Я сделала так: окошко логин-пароль, а если ошибка, тогда вылезает форма для отправки на почту...
(можно еще усугубить: если ошибка в пароле, но правильное имя пользователя)

[Vlad Drakula]

mar
все и всегда можно взломать, вопрос только во времени и средвствах, которые на это нужно затратить, по этому я и поднял вопрос о рациональности затрат на оборону...