1. дома
  2. Вопрос и ответ
  3. Есть ли в любом случае отправить кому-то пароль, который они могут использовать, но не видят?

Есть ли в любом случае отправить кому-то пароль, который они могут использовать, но не видят?

2013-07-10 6 views
0

Просто пытаюсь взломать простой скрипт, и у меня был небольшой вопрос о паролях.Есть ли в любом случае отправить кому-то пароль, который они могут использовать, но не видят?

Есть ли в любом случае я могу отправить кому-то случайный пароль, который они не могут видеть сами, но может использовать, чтобы сказать, изменить свой пароль на facebook, чтобы заблокировать себя от входа? Затем я отправлю им видимый пароль в указанное время позже.

Это для чисто образовательных целей, так как я просто строю небольшие приложения здесь и там, чтобы узнать php и mysql.

Пример: Друг хочет выйти из Facebook в течение 3 часов. Он использует веб-приложение, и я посылаю ему случайно сформированный пароль, чтобы он мог изменить свой текущий пароль FB. Однако по электронной почте он спрятан для него. Через 3 часа он получает еще одно электронное письмо, позволяющее ему использовать его.

Я понимаю, что могут быть некоторые более простые способы/более четкие методы достижения моей конечной цели, но мне просто интересно об этом!

спасибо

источник

2013-07-10 Dion Wu

+4

вы не отправляете пароль. вы отправляете какое-то зашифрованное/хешированное значение и используете это значение как одноразовый «пароль», который истекает, как только он используется - точно так же, как и в большинстве писем с сбросом пароля. «нажмите здесь в течение X часов, чтобы сбросить ...». –

+0

Вы можете создать случайную строку, указывающую на случайный пароль. Таким образом, пользователь видит только первую случайную строку –

+0

. Лучше, чтобы ваш webapp разговаривал напрямую с facebook и менял пароль, а затем через 3 часа отправляет пользователю пароль, чтобы он мог вернуться. Или измените пароль. –

ответ

0

Традиционный подход заключается в вычислении хэш-сумму какой-то из пароля, и отправить его. Thre - односторонние алгоритмы, такие как MD5, которые могут это сделать. Таким образом, соответствие паролю может быть гарантировано, без необходимости отправлять сам пароль или из которого можно вывести пароль.

Для обеспечения большей безопасности могут быть отправлены как хэш, так и контрольная сумма: таким образом сам хэш не может быть перехвачен и отправлен в качестве прокси-сервера для пароля: аутентификация не произойдет, если оба хеша и значения контрольной суммы не совпадают.

источник

2013-07-10 21:14:55 Curt

1

Если вы отправляете электронное письмо, содержащее «что-то», с помощью которого пользователь может войти в систему, вы отправляете им пароль, и если он будет доступен для кликов/копирования из электронной почты, они увидят его. Независимо от того, является ли пароль простым текстом, который непосредственно соответствует сохраненному значению (например, «thi $ ismyPa $$ word») или другому зашифрованному значению, которое при вводе дешифруется в соответствии с сохраненным значением, не имеет значения, пользователь в любом случае знает, что такое значение (потому что они должны ввести его). Чтобы пользователь мог указать значение, он должен иметь значение. Как отмечали другие, вы можете внедрить одноразовый пароль для использования в своем приложении, но это не сработает для реализации facebook, потому что это не ваше приложение, и вы не можете контролировать его функциональность. Короткий ответ, если вы предоставляете что-то пользователю (например, электронному письму), которое используется для доступа к системе, тогда они могут видеть значения, необходимые для входа в систему.

источник

2013-07-10 21:20:19

 Смежные вопросы

  • Нет связанных вопросов^_^