Comment mettre en Œuvre des Réinitialisations de Mot de passe?

Je travaille sur une application en ASP.NET et je me demandais comment je pourrais mettre en œuvre un Password Reset fonction de si je voulais rouler mes propres.

Précisément, j'ai les questions suivantes:

  • Ce qui est un bon moyen de générer un IDENTIFIANT Unique qui est difficile à résoudre?
  • Devrait-il y avoir une minuterie attaché à elle? Si oui, combien de temps devrait-il être?
  • Dois-je enregistrer l'adresse IP? Est-il encore de l'importance?
  • Quelles informations dois-je demander en vertu de la Réinitialisation du Mot de passe de l'écran ? Juste une adresse de Courriel? Ou peut-être l'adresse email de plus un élément d'information qu'ils "savent"? (Équipe Favorite, le chiot de nom, etc)

Y a d'autres considérations, j'ai besoin d'être au courant?

NB: D'autres questions ont l'estomper techniques de mise en œuvre entièrement. En effet accepté de répondre à des gloses sur les détails sanglants. J'espère que cette question et les réponses données ultérieurement vont aller dans les détails sanglants, et, je l'espère, par le phrasé cette question de plus en plus étroitement que les réponses sont moins "fluff" et plus "gore'.

Modifier: les Réponses qui vont également dans la façon dont un tel tableau serait modélisé et gérées dans SQL Server ou tout ASP.NET MVC liens vers une réponse serait appréciée.

  • ASP.NET MVC utilise la valeur par défaut ASP.NET fournisseur d'authentification, de sorte que toute les exemples de code que vous trouverez autour de qui sshould jusqu'à être pertinents pour vos besoins.
InformationsquelleAutor |
  1. 66

    Beaucoup de bonnes réponses ici, je ne vais pas la peine de répéter tout...

    Sauf pour une question, qui est repris par la quasi-totalité de réponse ici, même si c'est mal:

    Guid (réaliste) unique et statistiquement impossible à deviner.

    Ce n'est pas vrai, les Guid sont très faibles identifiants, et devrait PAS être utilisé pour permettre l'accès à un compte utilisateur.

    Si vous examinez la structure, vous obtenez un total de 128 bits au plus... ce qui n'est pas considéré comme un beaucoup de nos jours.

    Dont la première moitié est typique de l'invariant (pour le système de production), et la moitié de ce qui est à gauche est dépendant du temps (ou quelque chose de similaire).

    Dans l'ensemble, son très faible et facilement bruteforced mécanisme.

    Afin de ne pas les utiliser!

    Au lieu de cela, il suffit d'utiliser un cryptage fort générateur de nombre aléatoire (System.Security.Cryptography.RNGCryptoServiceProvider), et obtenir au moins 256 bits raw entropie.

    Tout le reste, comme de nombreux autres réponses fournies.

    • Tout à fait d'accord, pour autant que je sais, Guid n'ont jamais été conçus pour être cryptage fort et impossible à deviner.
    • bien dit, autant que je sache MSDN stipule clairement que les GUID ne doit pas être utilisé pour la sécurité.
    • +1 mélange dans une certaine forme de hachage/crypto est recommandé.
    • La Version 4 Uuid ont été utilisés dans Windows depuis 2000: Comment sont .NET 4 Guid généré? - Débordement de pile. Ils ont 122 bits aléatoires, qui je pense est conforme avec les recommandations du NIST. Il y avait une très mauvaise vulnérabilité à une attaque locale, qui, selon CryptGenRandom - Wikipedia a été corrigé dans Vista et XP en 2008. Alors, où voyez-vous des problèmes avec l'utilisation actuelle de Guid?
    • Salut @nealmcb, c'est 122 bits de l'unicité, et pas aléatoire. Liés à partir de la question que vous vous êtes liés, est une très bonne ventilation de la structure, qui a fondamentalement . 14 bits . de l'aléatoire. Pas assez, pas par un long shot... Comme l'un des intervenants a dit sur son blog il y a: "Guid ne sont pas définis au hasard; ils sont définis à ÊTRE UNIQUE dans l'espace & temps."
    • Je ne vois pas à quoi vous faites référence. Mais la norme est assez clair: "[à l'exception de 6 bits] Ensemble de tous les autres bits de façon aléatoire (ou pseudo-aléatoire) valeurs choisies." tools.ietf.org/html/rfc4122#page-14 Et à partir de ce que j'ai vu, sur une version patchée de XP et plus tard au moins viennent les valeurs de CryptGenRandom ce qui semble être de la même source sous-jacent auquel vous vous référez. Alors, combien de 256 vs 122 bits gain vous?
    • J'ai été fait référence à ceci: blogs.msdn.com/b/oldnewthing/archive/2008/06/27/8659071.aspx. Et tandis que je considère CryptGenRandom être (relativement) sécurisée, elle ne concerne qu'une petite partie de GUID, autant que je sache.
    • Voir aussi MS sur le sujet: "4: Aléatoire version. L'utilisation de nombres aléatoires pour toutes les sections" dans le Génération Guid sur le Pocket PC
    • Que les "Vieux Chose de Nouveau" blog décrit obsolète version 1 Uuid, et cite un Projet Internet (quelque chose que vous n'êtes jamais censé le faire), qui a expiré en 1998, 10 ans avant le blog. Je serais sceptique d'entre eux dans l'avenir. Nous avons combattu ces batailles il y a longtemps, et semblent avoir gagné la plupart d'entre eux. Je suis d'accord avec l'aide d'un chiffon propre API appel à un crypto-aléatoire de la source est beaucoup mieux, mais ne pas être assez difficile sur GUID/Uuid à la version 4.
    • hmm, maintenant, j'ai des informations contradictoires... que ce peu plus.
    • c'est bizarre que pocketpc l'article (qui est aussi très BIEN de la date, et bizarrement, incongru typique avec MSDN recommandations) dispose de ses propres contradictions internes - il d'abord de la cites la structure fixe, y compris en laissant seulement 6 octets pour "spatial " unicité", et tout le reste prédéfinis - et puis, il va à rendre aléatoire l'ensemble de la chose, sauf pour la version. Donc... Comme vous le dites, v4 UUID n'est pas aussi mauvais que ça, mais je ne suis toujours pas sûr que Guid.NewGUID() utilise v4...
    • Pour ce que sa vaut la peine, cela ne répond pas à la question, "comment faire pour réinitialiser un mot de passe". Vous avez juste vomi grands points de Guid.
    • le mot vomited m'a fait me sentir mal. Il a posté cette réponse au point une faille potentielle de la sécurité de l'utilisation de GUID, et a mentionné que toutes les autres réponses ont un bon débit, mais juste pour changer le générateur de nombre aléatoire pour quelque chose de conçu pour plus de sécurité. Je ne vois rien de répréhensible ici.

    InformationsquelleAutor AviD
  2. 67

    MODIFIER 2012/05/22: Comme suite à cette réponse, je ne l'utilise plus Guid moi-même dans cette procédure. Comme les autres populaire réponse, j'utilise mon propre algorithme de hachage pour générer la clé à envoyer dans l'URL. Cela a l'avantage d'être plus court ainsi. Regardez dans le Système.De sécurité.La cryptographie pour les générer, qui j'ai l'habitude d'utiliser un SEL.

    Tout d'abord, ne pas immédiatement réinitialiser le mot de passe utilisateur.

    Tout d'abord, ne pas immédiatement réinitialiser le mot de passe utilisateur quand ils en font la demande. C'est une violation de la sécurité comme quelqu'un pouvait deviner adresses e-mail (votre adresse e-mail à la société) et de réinitialiser les mots de passe à sa guise. Les meilleures pratiques de ces jours-ci comprennent généralement une "confirmation" lien envoyé à l'adresse email de l'utilisateur, confirmant qu'ils veulent pour le réinitialiser. Ce lien est l'endroit où vous souhaitez envoyer la clé unique lien. J'ai envoyer le mien avec un lien du type: domain.com/User/PasswordReset/xjdk2ms92

    Oui, définir un délai d'attente sur le lien et de stockage de la clé et de délai d'attente sur votre backend (et de sel si vous utilisez un). Délais d'attente de 3 jours est la norme, et assurez-vous d'informer l'utilisateur de 3 jours au niveau du site web quand ils le demandent pour réinitialiser.

    Utiliser une clé de hachage unique

    Ma réponse précédente, a déclaré à l'utilisation d'un GUID. Je suis maintenant de l'édition de ce conseille à tous d'utiliser une générés aléatoirement de hachage, par exemple, à l'aide de la RNGCryptoServiceProvider. Et, assurez-vous d'éliminer toutes les "vrais mots" à partir de la table de hachage. Je me souviens d'un de spécial 6h appel téléphonique où une femme a reçu un certain "c" mot dans son "supposé être aléatoire" haché touche qu'un développeur n'. Doh!

    Ensemble de la procédure

    • Utilisateur clique sur "réinitialiser" le mot de passe.
    • Utilisateur est invité à un e-mail.
    • Utilisateur entre e-mail et clique sur envoyer. Ne pas confirmer ou de nier l'e-mail que c'est une mauvaise pratique que de bien. Il suffit de dire: "Nous avons envoyé une demande de réinitialisation de mot de passe si l'e-mail est vérifiée." ou quelque chose d'énigmatique comme.
    • Vous créez un hachage de la RNGCryptoServiceProvider, magasin comme une entité distincte dans un ut_UserPasswordRequests table et un lien de retour à l'utilisateur. Donc ce donc vous pouvez suivre les vieilles demandes et informe l'utilisateur que les anciens liens a expiré.
    • Envoyer le lien de l'e-mail.

    Utilisateur obtient le lien, comme http://domain.com/User/PasswordReset/xjdk2ms92 , et clique dessus.

    Si le lien est vérifié, vous demandez un nouveau mot de passe. Simple, et que l'utilisateur arrive à définir leur propre mot de passe. Ou, définir votre propre cryptique ici le mot de passe et de les informer de leur nouveau mot de passe ici (et l'envoyer par courriel à eux).

    • Je me Demandais, Si le réel de l'utilisateur mot de passe est hashé, pourquoi générer une nouvelle Clé de HACHAGE? Ne serait pas correct d'envoyer un e-mail à l'utilisateur avec un lien pour réinitialiser le mot de passe en passant le Hachage de mot de passe? Le hachage de mot de passe ne peut pas être restauré, lorsque l'utilisateur clique sur le lien, le serveur va recevoir le mot de passe haché, de comparer avec la réelle stockée, puis permettre à l'utilisateur de changer de mot de passe.
    • Et un Autre prettly bonne chose à ce sujet, c'est que vous n'avez pas besoin de définir le Délai d'attente, une fois que l'utilisateur a changé le mot de passe, le lien sera automatiquement ne sera plus valable, parce que le hachage de mot de passe stocké dans la base de données a été modifié.
    • c'est vraiment une mauvaise idée. Je pense que vous avez besoin de Google le terme "les attaques par force brute." Aussi, la raison pour laquelle vous NE voulez qu'il expire est dans le cas où quelqu'un email est compromise d'un an (et ils n'ont jamais réinitialiser), le pirate prend le droit de modifier le mot de passe.
    • Je Sais que les attaques par force brute, mais aussi, d'avoir accès à la Hachée clé, la Mauvaise Intention de la personne, doit avoir accès à l'e-mail, et si il a accès, il n'est pas nécessaire pour rétablir le mot de passe haché. Aussi, pour la rendre presque impossible, vous pouvez hacher le mot de passe haché, ou encore mieux, de hachage de mot de passe avec quelque chose de plus. Je ne suis pas en désaccord avec vous, Im juste essayer de faire un Remue-méninges à ce sujet
    InformationsquelleAutor eduncan911
  3. 8

    Tout d'abord, nous avons besoin de savoir ce que vous savez déjà au sujet de l'utilisateur. De toute évidence, vous avez un nom d'utilisateur et un ancien mot de passe. Que savez-vous d'autre? Avez-vous une adresse e-mail? Avez-vous des données concernant l'utilisateur, la fleur préférée?

    En supposant que vous avez un nom d'utilisateur, mot de passe et adresse e-mail valide, vous devez ajouter deux champs de votre table utilisateur (en supposant que c'est une table de base de données): un jour appelé new_passwd_expire et une chaîne new_passwd_id.

    En supposant que vous avez l'adresse email de l'utilisateur, quand quelqu'un demande de réinitialisation de mot de passe, vous de modifier le tableau comme suit:

    new_passwd_expire = now() + some number of days
new_passwd_id = some random string of characters (see below)

    Ensuite, vous envoyez un e-mail de l'utilisateur à cette adresse:

    Cher untel

    Que quelqu'un a demandé un nouveau mot de passe pour le compte utilisateur <username> à <nom de votre site web>. Si vous n'avez demande ce réinitialisation de mot de passe, suivez ce lien:

    http://example.com/yourscript.lang?update=<new_password_id>

    Si ce lien ne fonctionne pas, vous pouvez aller à http://example.com/yourscript.lang et entrez les informations suivantes dans le formulaire: <new_password_id>

    Si vous n'avez pas de demande de réinitialisation de mot de passe, vous pouvez ignorer cet e-mail.

    Merci, yada yada

    Maintenant, codage yourscript.lang: Ce script a besoin d'un formulaire. Si le var mise à jour passées sur l'URL, le formulaire de demande pour le nom d'utilisateur et adresse e-mail. Si la mise à jour n'est pas passé, il demande le nom d'utilisateur, adresse e-mail et le code d'identification de l'envoyé dans l'e-mail. Vous aussi vous demander un nouveau mot de passe (deux fois bien sûr).

    Pour vérifier que l'utilisateur est nouveau mot de passe, vous vérifiez le nom d'utilisateur, adresse e-mail et le code d'identification de tous les match, que la demande n'a pas expiré, et que les deux nouveaux mots de passe correspondent. En cas de succès, vous modifiez le mot de passe utilisateur pour le nouveau mot de passe et effacer le mot de passe réinitialiser les champs de la table user. Veillez aussi à déconnecter l'utilisateur/effacer tous les témoins de connexion et de rediriger l'utilisateur vers la page de connexion.

    Essentiellement, le new_passwd_id champ est un mot de passe qui ne fonctionne que sur la page de réinitialisation de mot de passe.

    Un potentiel d'amélioration: vous pouvez supprimer <username> à partir de l'email. "Quelqu'un doit demander une réinitialisation du mot de passe pour un compte à cette adresse e-mail...." Rendant ainsi le nom d'utilisateur quelque chose que l'utilisateur sait si l'email est intercepté. Je n'ai pas commencé de cette façon parce que si quelqu'un est d'attaquer le compte, ils connaissent déjà le nom d'utilisateur. Cela a ajouté de l'obscurité s'arrête man-in-the-middle attaques d'opportunité en cas de quelqu'un de malveillant arrive à intercepter le courrier électronique.

    Que pour vos questions:

    la génération de la chaîne aléatoire: Il n'a pas besoin d'être extrêmement aléatoire. Tout générateur de GUID ou même md5(concat(sel,current_timestamp())) est suffisante, où le sel est quelque chose sur l'enregistrement de l'utilisateur comme timestamp compte a été créé. Il doit être quelque chose que l'utilisateur ne peut pas voir.

    minuterie: Oui, vous avez besoin de ce juste pour garder votre base de données sain d'esprit. Pas plus d'une semaine est vraiment nécessaire, mais au moins 2 jours puisque vous ne savez jamais combien de temps un e-mail de retard dernière.

    Adresse IP: Depuis l'e-mail pourrait être retardée par jours, l'adresse IP n'est utile pour l'enregistrement, pas de validation. Si vous souhaitez l'enregistrer, de le faire, sinon vous n'en avez pas besoin.

    Écran de réinitialisation: Voir ci-dessus.

    Espérons qu'il couvre. Bonne chance.

    • Ne serait pas un attaquant potentiel d'être en mesure d'utiliser le MD5 de l'actuel datestamp à entrer?
    • Le sel peut résoudre ce problème. Je vais mettre à jour....
    • Je recommande vivement contre l'envoi d'un mot de passe dans l'e-mail sur le fil. La plupart des utilisateurs de laisser ces e-mails récupérés qui est une violation de la sécurité, certains d'entre eux aiment tout simplement de copier-coller à chaque fois à partir de leur "favori" des e-mails. Que faire si le certificat des utilisateurs entreprise de serveur de messagerie est expiré et que le trafic est aspiré? Pour minimiser ce possible violation est (1) de fixer un court délai d'expiration de ce mot de passe 1 heure, et (2) forcer l'utilisateur à mettre à jour sur la prochaine ouverture de session.
    • Ognyan, le mot de passe envoyé dans l'email ne fonctionne qu'une fois. Ils doivent changer leur mot de passe après la connexion et l'e-mail ne contient pas le nom de connexion d'utilisateur. Donc, non, ils ne peuvent pas simplement copier-coller à chaque fois. Pas la suppression de l'e-mail n'est pas un problème de sécurité puisque c'est juste un sens de chaîne de lettres et de chiffres, qui vont avoir de l'attaquant RIEN après la réinitialisation du mot de passe.
    InformationsquelleAutor jmucchiello
  4. 3

    Un GUID envoyé à l'adresse e-mail d'enregistrement est probablement suffisant pour la plupart des run-of-the-mill applications - délai d'attente encore mieux.

    Après tout, si les utilisateurs de la boîte e-mail a été compromise(c'est à dire un hacker a l'ouverture de session/mot de passe de l'adresse e-mail), il n'y a pas beaucoup que vous pouvez faire à ce sujet.

    InformationsquelleAutor E.J. Brennan
  5. 2

    Vous pouvez envoyer un e-mail à l'utilisateur avec un lien. Ce lien devrait contenir une dur de deviner chaîne (comme GUID). Sur le côté serveur, vous souhaite également de stocker la même chaîne que vous avez envoyé à l'utilisateur. Maintenant, lorsque l'utilisateur appuie sur le lien, vous pouvez trouver dans votre db entrée avec une même chaîne secrète et réinitialiser son mot de passe.

    • Plus de détails seraient utiles.
    InformationsquelleAutor Sergej Andrejev
  6. 2

    1) Pour la génération de l'identifiant unique que vous pourriez utiliser Secure Hash Algorithm.
    2) minuteur de joint? Vouliez-vous dire une Échéance pour la remise pwd lien?
    Oui, vous pouvez avoir une Expiration définie
    3) Vous pouvez demander pour plus d'information autres que le emailId à valider..
    Comme la date de naissance ou de certaines questions de sécurité
    4) Vous pouvez également générer des caractères aléatoires et demandent à entrer que aussi avec la
    demande.. assurez-vous que la demande de mot de passe n'est pas automatisée par certains logiciels espions ou des choses comme ça..

    InformationsquelleAutor Java Guy
  7. 0

    Je pense que Microsoft guide pour ASP.NET l'Identité est un bon début.

    https://docs.microsoft.com/en-us/aspnet/identity/overview/features-api/account-confirmation-and-password-recovery-with-aspnet-identity

    Code que j'utilise pour ASP.NET Identité:

    Web.Config:

    <add key="AllowedHosts" value="example.com,example2.com" />

    AccountController.cs:

    [Route("RequestResetPasswordToken/{email}/")]
[HttpGet]
[AllowAnonymous]
public async Task<IHttpActionResult> GetResetPasswordToken([FromUri]string email)
{
if (!ModelState.IsValid)
return BadRequest(ModelState);
var user = await UserManager.FindByEmailAsync(email);
if (user == null)
{
Logger.Warn("Password reset token requested for non existing email");
//Don't reveal that the user does not exist
return NoContent();
}
//Prevent Host Header Attack -> Password Reset Poisoning. 
//If the IIS has a binding to accept connections on 80/443 the host parameter can be changed.
//See https://security.stackexchange.com/a/170759/67046
if (!ConfigurationManager.AppSettings["AllowedHosts"].Split(',').Contains(Request.RequestUri.Host)) {
Logger.Warn($"Non allowed host detected for password reset {Request.RequestUri.Scheme}://{Request.Headers.Host}");
return BadRequest();
}
Logger.Info("Creating password reset token for user id {0}", user.Id);
var host = $"{Request.RequestUri.Scheme}://{Request.Headers.Host}";
var token = await UserManager.GeneratePasswordResetTokenAsync(user.Id);
var callbackUrl = $"{host}/resetPassword/{HttpContext.Current.Server.UrlEncode(user.Email)}/{HttpContext.Current.Server.UrlEncode(token)}";
var subject = "Client - Password reset.";
var body = "<html><body>" +
"<h2>Password reset</h2>" +
$"<p>Hi {user.FullName}, <a href=\"{callbackUrl}\"> please click this link to reset your password </a></p>" +
"</body></html>";
var message = new IdentityMessage
{
Body = body,
Destination = user.Email,
Subject = subject
};
await UserManager.EmailService.SendAsync(message);
return NoContent();
}
[HttpPost]
[Route("ResetPassword/")]
[AllowAnonymous]
public async Task<IHttpActionResult> ResetPasswordAsync(ResetPasswordRequestModel model)
{
if (!ModelState.IsValid)
return NoContent();
var user = await UserManager.FindByEmailAsync(model.Email);
if (user == null)
{
Logger.Warn("Reset password request for non existing email");
return NoContent();
}            
if (!await UserManager.UserTokenProvider.ValidateAsync("ResetPassword", model.Token, UserManager, user))
{
Logger.Warn("Reset password requested with wrong token");
return NoContent();
}
var result = await UserManager.ResetPasswordAsync(user.Id, model.Token, model.NewPassword);
if (result.Succeeded)
{
Logger.Info("Creating password reset token for user id {0}", user.Id);
const string subject = "Client - Password reset success.";
var body = "<html><body>" +
"<h1>Your password for Client was reset</h1>" +
$"<p>Hi {user.FullName}!</p>" +
"<p>Your password for Client was reset. Please inform us if you did not request this change.</p>" +
"</body></html>";
var message = new IdentityMessage
{
Body = body,
Destination = user.Email,
Subject = subject
};
await UserManager.EmailService.SendAsync(message);
}
return NoContent();
}
public class ResetPasswordRequestModel
{
[Required]
[Display(Name = "Token")]
public string Token { get; set; }
[Required]
[Display(Name = "Email")]
public string Email { get; set; }
[Required]
[StringLength(100, ErrorMessage = "The {0} must be at least {2} characters long.", MinimumLength = 10)]
[DataType(DataType.Password)]
[Display(Name = "New password")]
public string NewPassword { get; set; }
[DataType(DataType.Password)]
[Display(Name = "Confirm new password")]
[Compare("NewPassword", ErrorMessage = "The new password and confirmation password do not match.")]
public string ConfirmPassword { get; set; }
}
    InformationsquelleAutor