¿Cuáles son algunos códigos que pueden ayudar al usuario de un sitio web a recuperar su contraseña, por ejemplo, PHP 5.6?

TLDR, si puede recuperar una contraseña para un usuario, su sistema de autenticación está dañado e inseguro.

PHP tiene métodos de administración de contraseña incorporados. Casi definitivamente deberías estar usándolos. Este no es el lugar para reinventar la rueda porque la criptografía es difícil.

La contraseña de un usuario debe ser salada y cifrada antes de ser almacenada en la base de datos. Luego, al comparar la contraseña en el intento de inicio de sesión del usuario, ejecuta la contraseña intentada a través del mismo algoritmo de hash, usando la misma sal y luego verifica su base de datos para ver si el hash de contraseña resultante coincide con el de la base de datos.

El hash es un algoritmo unidireccional, lo que significa que no puede tomar un hash y revertirlo para averiguar cuál era el valor original. Dado que una implementación adecuada solo almacenaría un hash de contraseña en una base de datos, es imposible recuperar la contraseña original.

El enfoque correcto es permitir a un usuario RESTABLECER su contraseña en lugar de recuperarla. Luego, el hash para la nueva contraseña reemplazaría la anterior en su tabla de usuarios.

ContraseñasDesarrollo webPHPProgramación informáticaSeguridad informática

Related Content

¿Cómo pueden las escuelas escanear páginas web seguras en busca de contenido inapropiado?

¿Qué compañías, aparte de Zynga, oyen paquetes de comunicaciones de sus empleados mientras están en el trabajo?

Soy un estudiante de ECE e interesado en la seguridad cibernética y la piratería ética. ¿Debo comenzar mi carrera con ciberseguridad o piratería?

¿La autenticación multifactor es un mejor método de seguridad que 2FA?

En términos más simples, un CAPTCHA está destinado a distinguir hombres y bots. Pero, ¿de qué sirve un CAPTCHA que se puede escanear a través de Bing Vision sin esfuerzo humano? ¿No es una pérdida de tiempo y esfuerzo?

Cómo comenzar con la ciberseguridad

Chrome: ¿Cuál de los siguientes datos de navegación debo eliminar para limpiar el malware?

La mayoría de los sitios web basados en php protegidos con contraseña almacenan sus contraseñas en una base de datos, probablemente MySQL.

Tendría que usar phpMyadmin, suponiendo que tiene acceso a la base de datos en cuestión y no tratando de entrar en lo que no debería estar rompiendo, y cambiar la contraseña a MD5 o texto claro y luego ingresar la contraseña en el área de nombre de usuario, luego cambie la contraseña nuevamente después de iniciar sesión para darle un mejor cifrado nuevamente.

Por lo tanto, no se necesita codificación. Buenas noticias ¿eh?

Mohamed El Sayed

Hoy en día el siguiente enfoque se hace popular:

1. Utilice la función “Iniciar sesión con”. Hay varios módulos independientes que hacen todo por usted y tienen ejemplos de cómo implementar la generación y el almacenamiento de contraseñas.

2. Cuando el usuario se registre, pídale solo un correo electrónico. Genere la contraseña y se la envíe por correo electrónico. Restauración de contraseña implementada de la misma manera: regenere la contraseña y envíela al correo electrónico registrado.

Ndikuryayo Theobald

Es mejor que use la identificación del usuario, al usar la identificación puede recuperar la contraseña del usuario. Pero recuerde que a veces las contraseñas se cifran con md5 o cualquier otro algoritmo. Recuerde descifrar la contraseña antes de mostrarla.

Mohamed El Sayed

No se trata del código, si conoces la técnica podrás implementarlo porque es bastante simple

Mientras se registra, solicite al usuario una respuesta secreta y guárdela en la base de datos con su otra información

Si perdió su contraseña y navegó a la página “Restaurar contraseña”, pídale que ingrese la identificación, el correo electrónico y la respuesta secreta.

Cree una consulta que seleccione de la base de datos una fila que tenga la misma información que ingresó, si hay una fila con el mismo correo electrónico, ID y la respuesta secreta que ingresó, puede pedirle que ingrese una nueva contraseña. Estás bastante seguro de que él es el verdadero propietario de la cuenta.

O simplemente puede pedirle que ingrese el correo electrónico que usó durante el registro y enviarle la contraseña por correo electrónico, si él es el propietario del correo electrónico, entonces él es el propietario de la cuenta.

Ndikuryayo Theobald

More Interesting

¿Cuál es el mejor escáner antivirus para comprar a bajo costo?

¿Por qué IdenTrust cruzó el certificado raíz de Let's Encrypt? ¿Esto no mata sus negocios?

¿Cómo verifica Windows (OS) la contraseña? ¿Dónde almacena sus contraseñas?

¿Se puede hackear un Android encriptado rooteado (ADB habilitado, cmOS oficial, compilación 01/01/2016, recuperación TWRP 2.8.0) que requiere contraseña en el inicio?

¿Necesita un software antivirus para Mac OS?

Cómo convertirse en un consultor independiente de seguridad cibernética

¿Cuáles son las razones por las que el cifrado simétrico funciona rápido?

Después de un BSc (IT), ¿qué cursos / fuentes recomendaría para convertirse en un maestro en ciberseguridad?

¿Existe algún algoritmo amigable para los humanos para elegir contraseñas (y no olvidarlas)?

¿Cuáles son los peligros y las vulnerabilidades de seguridad a los que está expuesta una computadora si se ejecuta en modo raíz (administrador) 24/7?

¿Cuál es un buen sitio que enumera los archivos del sistema Windows / Linux y proporciona descripciones?

Botnets: ¿Ha perdido interés el Grupo de trabajo de Conficker o ha perdido por completo la batalla contra Conficker?

¿Cómo piratean los hackers pakistaníes algunos sitios web indios? ¿Es una tarea realmente difícil?

¿Cuáles son algunas sugerencias de foros de la comunidad de hackers y salas de chat?

¿Ayudará ceh a conseguir un trabajo en el campo de la seguridad cibernética?

Web Analytics