Wachtwoord vergeten

    Goedemiddag,


    Ik ben bezig met een wachtwoord vergeten onderdeel, enkel wil ik deze simpel beveiligen tegen aanvragen. Veel formulieren worden misbruikt omdat ze weten dat bepaalde e-mailadressen op bedrijfsnaam gebaseerd zijn (vb: [email protected]).


    Wat heb ik al:
    Er zit al een standaard bescherming op die het formulier niet zomaar 100x uitvoerbaar maakt, hoe dit precies werkt hou ik liever voor mezelf. Ook is er aan CSRF gedacht zodat het formulier niet op afstand zomaar uitvoerbaar is, dit is een standaard bij mezelf.


    Wat zoek ik nu:
    Ik wil een bescherming maken voor me gebruikers, zelf dacht ik aan een soort back-up e-mailadres die afwijkende moet zijn van de login e-mailadres. Hiermee wil ik voorkomen dat kwaadwillende zomaar weten welk e-mailadres gebruikt wordt voor een login.


    Nu zit ik echter met het feit dat gebruikers dit niet makkelijk onthouden, wanneer ze een wachtwoord vergeten zijn onthouden ze die vaak ook niet meer. Ik zoek dus tips hoe ik dit beter kan doen, vraag niet om programmering kan dit allemaal prima zelf maken.

  • Guest, wil je besparen op je domeinnamen? (ad)

    Huh?


    Potentiële aanvallers ontvangen toch sowieso geen correspondentie-mail?


    Waar ik je gebruikers voor zou beschermen is:
    - een password reset die niet door de gebruiker zelf is ingezet, dit kun je makkelijk bereiken door een tussenstap in te bouwen die gebruik maakt van een unieke bevestigings-link
    - dat gebruikers gespamd worden door bovenstaande berichten, dit kun je bereiken door een status bij te houden die controleert of er al een reset-verzoek loopt, mogelijk met een timeout van een dag ofzo, zodat iemand ten hoogste één mailtje per dag ontvangt


    Je kunt je reset-password functionaliteit ook zo maken dat er helemaal geen mededelingen worden gedaan over het slagen/falen van een aanvraag zodat je ook niet makkelijk kunt vissen naar "bestaande" e-mailadressen.


    EDIT: dit geldt ook voor het inlogformulier, daar zou je ook geen enkele mededeling moeten doen over wat er fout is, maar simpelweg zeggen dat de login onjuist is als er onjuiste gegevens worden ingevuld.

    @FangorN
    Daar ben ik me van bewust maar wil de gebruikers niet spammen met de mailing voor een reset. Vandaar dat ik een oplossing hiervoor zocht, de 2 stappen reset had ik er al in zitten en blijft ook.


    Ik zal de reset max. 1 keer per dag houden zodat ze niet per dag 100e mails krijgen. Dat lijkt me een prima oplossing.


    Wat betreft de meldingen geef ik nooit aan wat fout is en wat goed is, dit is bij mij een standaard melding dat gebruikersnaam of wachtwoord onjuist is. Als je aangeeft dat het wachtwoord niet bij het account hoort weten ze waar ze verder kunnen gaan, geen goed idee dus.

    Ik zou mij hier verder niet zo druk om maken, te meer omdat dit niet in je "cirkel van invloed" zit - het is de verantwoordelijkheid van de eindgebruiker zelf dat deze zijn/haar gegevens niet kwijtraken.


    Je kunt hooguit een reset-functionaliteit faciliteren, voor de rest zoeken ze het maar uit :].

    Mogelijkheid om openID te implementeren bestaat uiteraard ook nog altijd, dan hoef je er verder helemaal geen zorgen over te maken. Enige wat je dan nog hoeft te doen is extra gegevens op te slaan in je database die je nodig hebt voor je website. Maar verder de authenticatie er van ed. heb je niet meer nodig :-).


    In plaats van het wiel telkens opnieuw uit te vinden is het meestal ook wel makkelijk om een open standaard te implementeren, een backup voor het geval de openstaand omvalt is uiteraard nooit verkeerd. (Bij uitval van de website of verbinding is het ook altijd wel handig om een backup te hebben).

    @Ferhat.Remory
    Per SMS is denk ik zelf over de top, het betreft onze kant van beveiliging. Hoe de gebruiker zijn/haar e-mail account beveiligd is uiteraard niet aan ons. We kunnen 1x per dag wel goed instellen en per e-mail informeren dat ze de mail kunnen negeren mits ze dit niet aangevraagd hebben.


    @Patrick
    De gegevens zijn best uitgebreid, ik denk niet dat deze informatie zomaar opgevraagd mag worden. Geen ervaring mee althans, als ik het bij het verkeerde einde heb hoor ik dit graag.


    ------
    De registratie, activatie & 2-stappen wachtwoord herstel aanvraag werkt inmiddels al prima zonder problemen. Nooit gedacht dat CodeIgniter een simpele gedachtegang was. Heb altijd Smarty gebruikt omdat ik hiermee bekend was, ook vrij snel in gebruik maar minder functionaliteit en geen MVC model.


    Het MVC framework begint me aardig aan te spreken en de logica hierachter is ook vrij snel te begrijpen.

Participate now!

Heb je nog geen account? Registreer je nu en word deel van onze community!

Maak een account aan Login