web-applications - 现代 Web 应用程序中密码检索的有效技术

Question

我们一直在开发 web 应用程序，我们需要在其中实现密码检索的传统 web 应用程序功能。根据趋势，有一些方法，如..

将密码重置链接发送到用户的电子邮件。

向用户询问密码恢复的 secret 问题。

重置现有密码并创建新密码并将其发送给用户。这也可能会强制用户在下次登录时更改密码。

我们是否有任何非传统技术来实现密码检索机制？您为此尝试了哪些其他方法？

谢谢。

Answer 1

我在实践中看到的其他选择包括:

当出现问题时允许使用第二个密码——比如手机使用的 super 密码。

创建一个文件 token (通常是 PGP key )，用户将在创建帐户时下载该 token 并将其存储在 USB 内存棒上，或将其存档以备后用。当出现问题时，用户将上传 token ，从而证明他是帐户的“所有者”，并且应用程序将让用户更改密码。这可以是一个常量 token ，也可以是一个带有多个 token 的文件(类似于网上银行 TAN)——每次使用一个 token 时，它也会失效。

上述方法实现起来并不那么简单，但对用户非常友好(因为它们没有什么新东西，而且在日常情况下也存在)。