사용자가 암호를 잊어 버리면 재설정 할 수 있습니다 (대부분의 웹 사이트에서). 재설정 토큰을 사용하여 전자 메일을 수신 한 다음 재설정 토큰을 사용하여 새 암호를 설정하면됩니다. 이 토큰은 일반적으로 추측으로부터 보호하기 위해 잠시 후에 만료됩니다.암호 재설정 토큰의 만료 시간
토큰이 256 비트라고 가정 해 봅니다. 슈퍼 컴퓨터를 많이 사용하여 그것을 약화시키는 것은 여전히 (대략 대략) 10^50 년이 걸립니다. 나는. 현재의 지식으로는 1 시간 (정규 만료 시간) 이내에는 불가능합니다. 이제 질문은 : 왜 우리는 추측을 막을 수 있습니까?
추측은 실제로 당신을 보호하지 않습니다. 당신이 생각한 것처럼, 엔트로피 크기만으로 처리됩니다.
만료일은 전자 메일 메시지에서 여러 가지 방법으로 유출 될 수 있기 때문에 기본적으로 해당 토큰에 대한 무단 액세스를 완화하는 데 사용됩니다. 사용자의 이메일 주소로 사용자 비밀번호를 보내지 말아야하는 이유와 정확히 같습니다.
누군가 다른 사람이 이메일 계정에 일시적으로 액세스 할 수도 있고, 계정 소유자와 함께 읽거나 그 뒤에 서있을 수도 있습니다. 모든 종류의 속임수가 가능합니다.
더하기 모든 개발자가 가비지 데이터를 정리하기를 좋아하는 데이터베이스 표가 오래되었지만 일시적으로 일시적인 토큰으로 가득 차길 바라지 않습니다.
전자 메일 계정에 대한 액세스 권한이있는 다른 사람으로부터의 액세스를 막을 수는 없습니다. 그 사람은 그 당시에 새 토큰을 요청할 수 있기 때문입니다. 어깨 너머로 보이는 사람을 보호하는 것은 두 가지로 피할 수 있습니다. 첫째, 토큰은 256 비트 임의성으로, 쉽게 구별 할 수 없습니다. 둘째, 단추 (html-email)에 숨길 수 있습니다. (데이터베이스를 정리하는 것은 훌륭한 추측이지만, 보안과 관련이 없으며 예를 들어 48 시간을 확실히 기다릴 수도 있습니다.) –
물론, 토큰을 숨기려면 작은 외관 작업을 많이 할 수 있지만 보장은 없습니다. 실제로 중요한 것은 아닙니다. 프로세스는 설계에 의해 안전해야하며 일부 프론트 엔드 마법에 의존하지 않아야합니다. 물론 누군가가 계정에 영구적으로 액세스 할 수 있다면 새 키를 요청할 수 있지만 핵심 단어는 "누수"및 "임시"입니다. – Narf
256 바이트를 의미한다고 가정합니다. 또한 암호화 방법에 대해서는 언급하지 않았습니다. 가난한 암호화가있는 경우 거대한 키를 사용하더라도 균열은 쉽지 않습니다. – Trickycm
아니, 그냥 숫자, 암호화 키가 없다. 기본적으로 256 비트 숫자를 추측하는 것입니다. –
오, 확실히 오래도록. – Trickycm