Door
Dirk Renes
op 29-11-2011 14:34
gewijzigd op 01-12-2011 09:04
4.900 views
Ik wil bij mijn login script ook de mogelijkheid hebben dat mensen hun wachtwoord kunnen opvragen als zij die vergeten zijn. Ik heb heb mijn wachtwoorden beveiligd met de functie salt, alleen hoe kan ik nu het beste van de persoon die zijn wachtwoord kwijt is hem via een email zijn gegevens sturen inclusief het decrypten van zijn wachtwoord.
Het moet zoals hieronder vermeld:
Ik heb er toch voor gekozen om het via een link te doen, dus gebruikers voegen hun gebruikersnaam en email in en vervolgens krijgen ze een link die 24 uur actief is, vervolgens drukken ze op die link en krijgen ze een nieuw wachtwoord toegestuurd. hoe ga ik dit realiseren.
Maak 2 extra velden aan bij je users of in een koppeltabel met bijv: veiligsheidscode en verloopdatum
Dan maak je een random code die zet je in de veiligheidscode veld, en bij verloopdatum zet je de tijd van nu + 24 uur. Dan stuur je de gebruiker een url met www.mijndomein.nl/?pagina=wwvergeten&randomcode=485743957439754 op die pagina maak je een formulier met 2 inputvelden voor het nieuwe wachtwoord, en als die overeenkomen met de random code uit je url dan wijzig je hem.
Je kan de hash iedere keer dat de gebruiker inlogd veranderen met bv sha(time()); :P
Dat kan, maar ik zou het niet doen. Ik zou vanaf buitenaf lukraak getallen kunnen generen, een hash eroverheen en met een beetje geluk ook nog raak schieten. beter dus even een Salt, Pepper of een berekening er op los laten.
Je maakt eerst een formuliertje waar men zijn username en mailadres in moet vullen. Als deze gecontroleerd zijn, genereer je een hash, welke je in de database opslaat. Ook stuur je deze hash mee in een linkje die je naar de gebruiker mailt.
Als de hash-overeenkomt, dan laat je de gebruikers een nieuw password instellen, en als dat gebeurt is, dan verwijder je weer die hash uit je database (waarmee het linkje niet meer zal werken).
