1. Zuhause
  2. Frage und Antwort
  3. Ablaufzeit der Token zum Zurücksetzen des Kennworts

Ablaufzeit der Token zum Zurücksetzen des Kennworts

2017-10-19 3 views
0

Wenn Benutzer ihre Kennwörter vergessen haben, können sie sie zurücksetzen (auf den meisten Websites). Sie erhalten eine E-Mail mit einem Reset-Token und verwenden diese, um ein neues Passwort zu vergeben. Dieses Token läuft normalerweise nach einer Weile ab, um gegen Raten zu schützen.Ablaufzeit der Token zum Zurücksetzen des Kennworts

Nehmen wir an, das Token ist 256-Bit. Um es mit vielen Supercomputern zu machen, dauert es immer noch (sehr grob) 10^50 Jahre. I.e. es kann nicht mit dem aktuellen Wissen getan werden, definitiv nicht innerhalb von 1 Stunde (reguläre Ablaufzeit). Jetzt stellt sich die Frage: Warum schützen wir uns überhaupt vor Raten?

Quelle

2017-10-19 Rien Heuver

+0

Angenommen, Sie meinten 256 Byte. Auch Sie haben nie die Verschlüsselungsmethode erwähnt. Selbst mit einem großen Schlüssel, wenn Sie eine schlechte Verschlüsselung haben, ist es trivial zu knacken. – Trickycm

+0

Nein, ich meinte Bit, nur eine Nummer, kein Verschlüsselungsschlüssel. Es geht im Grunde nur darum, eine 256-Bit-Zahl zu erraten. –

+0

Ah sicher, lange. – Trickycm

Antwort

2

Raten ist nicht wirklich, was Sie vor es schützen. Wie Sie sich vorstellen können, kümmert sich allein die Entropie-Größe darum.

Das Ablaufdatum dient hauptsächlich dazu, einen möglichen unbefugten Zugriff auf dieses Token zu verringern, da es viele Möglichkeiten gibt, wie es aus einer E-Mail-Nachricht austreten kann. Genau wie, warum Sie das Passwort eines Benutzers nicht an ihre E-Mail-Adresse senden sollten.
Jemand anderer hat möglicherweise temporären Zugriff auf den E-Mail-Account, liest zufällig zusammen mit dem Kontoinhaber oder steht hinter ihnen, usw. Alle Arten von Spielereien sind möglich.

Außerdem möchte niemand eine Datenbanktabelle voller alter, aber vermeintlich temporärer einmaliger Tokens - jeder Entwickler mag Mülldaten bereinigen.

Quelle

2017-10-19 12:05:37 Narf

+0

Sie können nicht wirklich verhindern, dass jemand anders Zugriff auf das E-Mail-Konto hat, da diese Person zu diesem Zeitpunkt einfach ein neues Token anfordern kann. Der Schutz vor jemandem, der über die Schulter schaut, wird durch zwei Dinge vermieden. Erstens ist das Token eine 256-Bit-Zufälligkeit, die nicht einfach zu rememberen ist. Zweitens können Sie es in der Schaltfläche (HTML-E-Mail) ausblenden. (Aufräumen Ihrer Datenbank ist ein gutes Argument, denke ich, aber nicht so sehr sicherheitsrelevant und etwas, das zum Beispiel 48 Stunden warten kann). –

+0

Sicher, Sie können eine Menge kleiner kosmetischer Dinge tun, um das Token zu verstecken, aber keine Garantie es und das ist nicht wirklich der Punkt - der Prozess muss durch Design sicher sein, nicht auf einige Front-End-Zauberei angewiesen. Und natürlich kann jemand, der permanenten Zugriff auf das Konto hat, einen neuen Schlüssel anfordern, aber die Schlüsselworte sind "leak" und "temporary". – Narf

Verwandte Themen

 Verwandte Themen