Twitter에서 직접 메시지를 통해 사용자에게 분실 한 자격 증명을 제공해야합니까?

Question

전자 메일이 아닌 Twitter의 직접 메시지를 통해 사용자 이름이나 암호를 잊어 버린 사용자에게 제공하는 것이 더 낫습니까?

Answer 1

메시지와 자신의 사용자로부터 메일을 읽고 어떤 관리를 차단할 수 있도록 관리자를 트위터 것을 알고 있기 때문에 더 안전 할 수있다 왜냐하면 당신이 제대로하고 있다면 평범한 텍스트로 암호를 저장하지 않기 때문입니다.

사용자는 예를 들어 비밀번호 힌트 또는 이메일을 통한 활성화 링크의 도움을 받아 비밀번호를 변경할 수있는 재설정 기능을 사용할 수 있습니다.

Answer 2

나는 정말 트위터에 내 사용자 이름과 암호를 던지는 사이트를 원하지 않습니다.

아니요!

Answer 3

이메일로 보내는 것만 큼 안전합니다. 새 암호를 생성 한 후 dm을 통해 사용자에게 보내면 사용자 만 읽을 수 있습니다. 그리고 예. 사용자는 암호화되지 않은 연결을 통해 보안되지 않은 방식으로 트위터에 액세스 할 수 있습니다. 하지만 누군가가 자신의 메일에 액세스하기 위해 암호화 된 연결을 사용한다는 것을 확신 할 수 없습니다.

는 사실 당신은 대부분 '당신이 할 수 있기 때문에 당신은 (모두에서 잃어버린 암호를 제공하지

Answer 4

보안을 제쳐두고, 트위터에서 내 소식을 전하지 않는 경우 비밀번호 재설정 정보, 비밀번호 미리 알림 또는 다른 내용을 사용자에게 직접 보낼 수 없다는 중대한 결함이 있습니다. 귀하의 사이트가 그 자체로 트위터 클라이언트가 아니라면 확률은 잠재적 인 사용자 중 상당 부분이 특별히 당신을 따르는 것에 관심이없고 그들이 당신을 따라야한다고 (또는 적어도/비밀번호 변경/언 폴링)을 사용하십시오.

업데이트 : 나는 당신이 트위터 사용자 인증 기능을 묶어 싶은 경우에, 왜 바로 트위터의 OAuth를 사용하지 않고 모두 자신의 암호 저장소를 유지 ... 얘기를 깜빡 했네요? 그것은 매우 잘 작동하고 (실패 고래를 제외하고), 사용자를 위해 매우 쉽고 빠르며, 따르거나 따르지 않는 사람에 대한 요구 사항을 두지 않습니다.

Answer 5

비밀번호를 안전하게 보관하고 이메일이나 트위터로 아무것도 보내지 마십시오. 이 작업을 수행하려면 MD5 및 다른 알고리즘을 찾으십시오.

위키 말한다 :

에서 암호가 MD5 (메시지 다이제스트 알고리즘 5 )는 128 비트 해시 값을 갖는 널리 사용 암호화 해쉬 함수이다. 인터넷 표준 (RFC 1321)으로, MD5는 다양한 보안 응용 프로그램에 사용 된 이며 일반적으로 파일의 무결성을 확인하는 데 사용되는 입니다.

암호화하지 않고 비밀번호를 저장하는 웹 사이트를 볼 때 나는 그것을 싫어합니다. 그리고 웹 사이트가 트위터를 통해 내 비밀번호를 보내기 시작하면 뭔가 문제가 생길 수 있습니다.

Answer 6

이 게시물을 읽기로 시작 : What is the best “forgot my password” method?
이렇게하면 올바른 방향으로 시작할 수 있습니다.

Answer 7

비밀번호를 이상으로 안전 채널 대신 그대로 전송하는 대신 nonce을 보내주십시오. 예를 들어, 사용자가 클릭하고 개인 정보를 확인한 다음 한 번만 새 암호를 선택해야하는 일회성 URL입니다.

이렇게하면 메시지가 도청되면 개인적인 질문을 해킹하지 않고도 피해를 입을 수 없습니다.

Answer 8

잊어 버렸을 때 UPS, FedEx 또는 USPS에서 보낸 비밀번호를 원합니다.

사용자를 처벌하십시오.

나쁜 사용자.

Answer 9

어쨌든 일반 텍스트로 암호를 저장해서는 안된다는 사람들이 많으므로 충분한 설명을 듣지 않을 것입니다.

그러나 일회용 암호 재설정 링크를 Twitter DM으로 보내려면 사용자가 휴대 전화에서 해당 메시지를받을 수 있다는 점을 고려해야합니다.

그러면 링크가 가리키는 모든 것이 휴대폰 웹 브라우저에 올바르게 표시되도록 설정해야합니다.

그러면 이메일을 보내고 싶을 것입니다.