Autor | Zpráva | ||
---|---|---|---|
souki Profil |
#1 · Zasláno: 24. 12. 2006, 12:33:59
Při registraci uživatele si jeho heslo ukládám hashované přes SHA1. Chci mu ale poslat potvrzovací email s jeho údaji. Ihned po přidání do databáze ale mám k dispozici v proměnné ještě nezahashované heslo. Mám odesílat v mailu?
Tuším že Pixy někde psal, jak ho strašně naštvalo, když mu v registračním emailu z eshopu přišlo jeho heslo. Automaticky z toho usuzoval, že ho mají i uloženo v čitelné podobě. Otázka tedy zní: Posílat v potvrzovací emailu heslo nebo ne? |
||
tiso Profil |
#2 · Zasláno: 24. 12. 2006, 13:02:43
Bezpečnejšie bude heslo cez mail neposielať. Tomu kto heslo zabudne pošli na mail link cez ktroý sa môže znovu prihlásiť, prípadne nové heslo s obmedzenou časovou platnosťou. Ďalšia možnosť: nechať užívateľa zadať otázku+odpoveď ktorá sa použije pri zabudnutí hesla.
|
||
souki Profil |
#3 · Zasláno: 24. 12. 2006, 13:06:57
tiso
To zní rozumně... Takže udělat kompromis a posílat (nové) heslo vlastně jen na vyžádání? A jak s loginem do eshopu? Přijde mi vhodnější používat pro to rovnou email. Je sice dlouhý, ale narozdíl od loginu se nemusí pamatovat. Jaký způsob potkáváte častěji? |
||
quinux Profil |
#4 · Zasláno: 24. 12. 2006, 13:14:31
souki
prípadne nové heslo s obmedzenou časovou platnosťou Neomezuj platnost, prostě vygeneruj nové heslo a uživateli v mailu připomeň, že si je může a měl by po přihlášení změnit. A jak s loginem do eshopu Můžeš udělat oba způsoby (mají to např. na mall.cz). Kdo se bude registrovat dobrovolně, může si dát login, kdo se bude registrovat automaticky při objednávce dej mu jako login mail. Ale pokud hledáš jen jeden způsob tak je IMHO nejlepší ten mail, protože ten už si uživatel pamatuje :) |
||
Časová prodleva: 17 let
|
Toto téma je uzamčeno. Odpověď nelze zaslat.
0