Вопрос по форме восстановления пароля на сайте

Question

[Андрей]

Сделали формочку с полем для ввода почты и кнопкой «Восстановить пароль».

При нажатии на нее на почту (если такая есть в базе) отправляется ссылка вида
site.ru/fastlogin/name@mail.ru/823497378934270324789543

По ссылке мы определяем совпадает ли почта и хеш пароля (823497378934270324789543) с данными учетки. Если да, то человек автоматически входит на сайт. То есть перешел по ссылке и уже залогинен.

Вроде бы все очень легко и удобно. Но чувствуется что тут есть какие-то подводные камни. Может быть вы увидите их?

Answer 1

[Golden]

Нужно запоминать в базе когда сгенерированна подобная ссылка, и придерживаться некого TTL для нее, мне доводилось анализировать как часто пользователи восстанавливают пароль (на примере интернет магазина), в 99% случаев происходит так: заходим на сайт, не помним пароль или логин, идем в форму восстановления, пишем там свой мэил, и тут же идем в почту ждать ссылку.

Т.е. при «сроки годности» такой ссылки скажем в 1 час, все должно без проблем работать, и не дать шанса сбрутфорсить хэш пароля.

Ну и само собой если пользователь не ткнулся на сайте в «восстановить пароль» то никакого TTL в базе не будет, а значит это защит от генерации подобных ссылок с парами почта\хэш пароля.

Answer 2

[Андрей Буров]

Это должен быть не хэш пароля, а случайный набор символов, который генерируется при нажатии «восстановить пароль» и у которого определенный срок годности.

Такая ссылка может попасть в history браузера и т.п. (помните про попадание в поисковики ссылок на заказы в инет-магазинах?)

Answer 3

[Genome_X]

Только если пробовать брутфорсить хеш, т.е. осуществлять множественные переходы по сгенерированным ссылкам, в котором необходимый нам е-мейл как константа, а хеш каждый раз генерируется.
Тут можно придумать некие ограничения на количество хешей для конкретного е-мейла, т.е. три хеша в час для одного мейла, все что выше, считается попытко взлома.

Answer 4

[Tsivarev]

А как то фиксируется тот факт, что пользователь хочет восстановить пароль? Т. е. нажал кнопку «Восстановить пароль» на сайте?

Answer 5

[serverok]

Могу описать реализацию на одном из наших проектов:

1) пользователь вводит email;

1.1) проверяем существование данного аккаунта;

2) на почту отсылаем линк с уникальным сгенерированным идентификатором (который привязан к аккаунту), кликнув по которому, пользователь попадет на страницу с 2 полями для ввода — новый пароль и подтверждение.

3) при сабмите формы — записываем хеш нового пароля в поле временного пароля и отсылаем на почту пользователя ссылку для подтверждения данной операции (смену пароля).

4) у ссылки есть «время жизни» (у нас 6 часов) — если пользователь за это время перешел по ссылке, заменяем хеш пароля на новый и, вуаля, у пользователя новый пароль.

Comments

[akkuch]

А зачем лишний шаг 3-4? Мы уже подтвердили подлинность себя и своей почты на шаге 2.

[serverok]

шаг 3 и 4 — это доп. защита от «случайной» смены пароля:
— детьми, на залогиненом компе
— сотрудниками/сослуживцами этого человека, в шутку, пока он отбежал от компа в оффисе
— самим человеком «на пьяну голову»
— и т.п.

мы просто посчитали, что лучше немножко «перебдеть» чем «недобдеть» :)

[Дмитрий Сидоров]

2. Как же вы достали с этим «подтверждение пароля»… Извините…

[serverok]

2 Doomsday_nxt: расскажите это пользователю, который купил плазму через Allow Guest Checkout в каком-то магазине, и при проверке, уже оплаченной, покупки понял, что отправил посылку то по старому адресу, откуда неделю назад съехал. Решил зайти в созданный для него аккаунт (при чекауте), чтобы изменить данные, но не может… а оказалось, что он ввел пароль «qwertu», а не «qwerty»… но как он об этом узнает — хз => и вот оно «здравствуй восстановление пароля». А теперь допустим ситуацию (а такое может произойти, шанс мааааааааааааааленький, но он есть — и по теории подлости произойдет), что и при восстановлении пароля пользователь ошибся — есть вариант, что он через 5 минут выбросится в окно, потому что на эту плазму он копил целый год и ждал скидок… шутка, конечно.

Оптимизировать можно все, но надо к этому подходить со здравым смыслом.