Glemt passord script, sikkerhet?

[HoaXed]

Hællæ!

 

Har et brukercommunity hvor jeg nå ønsker å legge til funksjonen "glemt passord", og ønsker å gjøre det så sikkert som mulig. Ønsker å vite om det finnes enklere måter enn det jeg har tenkt på, og om det i hele tatt er sikkert nok.

 

- Brukeren trykker på glemt passord og taster inn sin epost

- Sjekker gjennom databasen etter denne eposten og hvis det er match sender den ut en string til eposten

- Denne stringen er i UNIX time som lagres samtidig i et eget felt i den brukerens kolonne i databasen.

- Når brukeren da åpner eposten sin og følger linken med validation strengen så sjekker den datidens unix time opp mot den som står i databasen slik at man kun kan bruke stringen den første 24 timene.

- Stemmer strengen overens med den i databasen samtidig som den er mindre enn 24 timer gammel kan brukeren endre sitt passord.

 

i tilleg til UNIX time, legges det til feks 10 random tall forann slik at man ikke kan enkelt lage egne validation strenger.

 

Er dette sikkert nok, finnes det noe sikrere, enklere?

[pulse]

Jeg er ikke noen ekspert på sikkerhet, men så lenge siden ikke er kryptert virker det som om det er http protokollen som isåfall er flaskehalsen her, og at scriptet er -mer- enn sikkert nok.

Endret 4. januar 2008 av pulse

[NorskFirefox]

enkleste måten, og sikreste vil være å først be om epost, så sender du en bekreftelse til eposten (må godkjennes innen f.eks. 24 timer), når denne linken blir aktivisert så sendes det et tilfeldig passord til eposten.

[HoaXed]

enkleste måten, og sikreste vil være å først be om epost, så sender du en bekreftelse til eposten (må godkjennes innen f.eks. 24 timer), når denne linken blir aktivisert så sendes det et tilfeldig passord til eposten.

MM. Blir det samme som jeg sa bare at her sendes det da et tilfeldig passord.

 

Siden det tydeligvis er sikkert, begynner jeg å programmere den.