Продвинутая система восстановления пароля

[Slastik]

Продвинутая система восстановления пароля

Есть система работающая с деньгами, получение доступа к аккаунту пользователя чревата потерей его денег.

Нужна система восстановления пароля.

Стандартная схема отсылки на почту не подходит, так как почта шлется не по шифрованным каналам.

Сайт работает с SSL поэтому вывод нового пароля в браузер вполне безопасен.
но по каким действиям генерить новый пароль.
Первое что приходит в голову это секретный вопрос.

Но вариант плох тем что общесто пользующееся сайтом тесно связано и знает информацию друг о друге.

Какие еще могут быть варианты?

 

[.des.]

1. Посылать url сброса пароля на email.
2. Для востребования восстановления пароля и его сброса пользователь должен знать и email и имя пользователя (для параноидальной системы + и ответ на секретный вопрос). Естественно в email не должно быть указано имя пользователя.

3. При регистрации генерить набор кодов и при любом важном действии спрашивать случайный код из этого набора.

 

[Slastik]

1. Посылать url сброса пароля на email.

чем это лучше просто отсылания пароля на почту? каналы не шифрованны, такой вариант не подходит

2. Для востребования восстановления пароля и его сброса пользователь должен знать и email и имя пользователя (для параноидальной системы + и ответ на секретный вопрос). Естественно в email не должно быть указано имя пользователя.

проблема в том что людим могут знать друг друга, и эта информация довольно доступна.

3. При регистрации генерить набор кодов и при любом важном действии спрашивать случайный код из этого набора.

код это тот же пароль, его так же забудут...

 

[Фанат]

мля.
если все друг дружку знают и попами трутся, то какая проблема ЛИЧНО обратиться к админу и получить новый пароль?

 

[chisto_tolyan]

сделай как на E-Gold - там после личного допроса высылают пароль почтой (обычной почтой, в конверте)

 

[Slastik]

прикол в том что хочется этот процесс автоматизировать - без привлечения человека (админа)