Wachtwoord en gebruikersnaam kwijt.... Resetten met unieke code?

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Pagina: 1 2 volgende »

Hans De Ridder

Hans De Ridder

28/10/2017 00:24:50
Quote Anchor link
Ik heb bij de inlogpagina de mogelijkheid om een vergeten wachtwoord te resetten.
Dat geldt ook bij een vergeten gebruikersnaam.
Nu heb ik een uniek lidnummer.
Ik zou in de welkomstmail dit nummer eenmalig kunnen vermelden.
Daarmee zou bij het kwijtraken van zowel ww en gebruikersnaam eventueel
ingelogd kunnen worden (wachtwoord en gebruikersnaam resetten ?)
Is dat een redelijke mogelijkheid?
Of de gebruikersnaam vermelden?
Het emailadres is natuurlijk ook uniek.
Ik werk liever niet (meer) met persoonlijke vragen....
Of gewoon berichtje naar de beheerder ?
 
PHP hulp

PHP hulp

30/11/2024 01:31:08
 
- Ariën  -
Beheerder

- Ariën -

28/10/2017 00:32:38
Quote Anchor link
Waarom niet meteen je mailadres als gebruikersnaam laten gebruiken, net als hier op PHPhulp?
Die vergeet iemand niet zo snel, en is zelfs uniek. Aan de hand daarvan kan je een username op de site tonen die bij de registratie bedacht is.

Tevens voorkom je ook zo dat iemand onbedoeld een dubbel account aanmaakt, als diegene niet meer weet dat hij/zij geregistreerd was.
Gewijzigd op 28/10/2017 00:38:37 door - Ariën -
 
Hans De Ridder

Hans De Ridder

28/10/2017 00:44:01
Quote Anchor link
Ik zou de keuze kunnen laten. Email of gebruikersnaam.
En op de pagina waar de persoonlijke gegevens staan
de gebruikersnaam tonen.
Heb al zoveel mogelijkheden gezien, dat ik door de bomen
het bos niet meer zag.
Bedankt voor het juiste spoor...
 
- Ariën  -
Beheerder

- Ariën -

28/10/2017 00:46:20
Quote Anchor link
Waarom de keuze maken of ze willen inloggen met een mailadres of een gebruikersnaam?
Met een mailadres ben je altijd uniek.
 
Frank Nietbelangrijk

Frank Nietbelangrijk

28/10/2017 01:14:09
Quote Anchor link
yap. gewoon email vragen voor een password reset, hash aanmaken, hash opslaan in de user tabel en url genereren met de hash er in. bijvoorbeeld
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
http://mysite.nl/password/reset?hash=bb21158c733229347bd4e681891e213d94c685be

en deze link naar het mailadres versturen. Vervolgens op de php pagina waar de gebruiker terecht komt aan de hand van de hash proberen de juiste user te vinden uit de database.
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
SELECT user_id FROM users WHERE hash='bb21158c733229347bd4e681891e213d94c685be' LIMIT 1

indien goed laat de gebruiker twee maal een nieuw password intoetsen en indien fout geef een 403 forbidden.
Stel ook een tijdslimiet in voor resetten van wachtwoorden, zeg maar iets van 1x per 24 uur.
Gewijzigd op 28/10/2017 09:06:54 door Frank Nietbelangrijk
 
Willem vp

Willem vp

28/10/2017 02:04:12
Quote Anchor link
Frank Nietbelangrijk op 28/10/2017 01:14:09:
indien goed laat de gebruiker oud password en twee maal nieuw password intoetsen

Euh... het idee achter een password reset is dat de gebruiker zijn wachtwoord is vergeten. Iets in mij zegt dat je dan niet naar zijn oude wachtwoord moet vragen. ;-)
 
Frank Nietbelangrijk

Frank Nietbelangrijk

28/10/2017 08:56:08
Quote Anchor link
Het was zeker al laat :-)

Dat is enkel bij een password change. De gebruiker is dan ingelogd met zijn oude wachtwoord en wil dit wachtwoord veranderen

[aangepast]

Toevoeging op 28/10/2017 09:29:12:

- Ariën - op 28/10/2017 00:46:20:
Waarom de keuze maken of ze willen inloggen met een mailadres of een gebruikersnaam?
Met een mailadres ben je altijd uniek.


Ik snap dat inloggen met een gebruikersnaam al helemaal niet. De nadelen wegen niet op tegen de voordelen. Een gebruikersnaam moet dan om die reden al uniek zijn. Twee keer een Frank dat gaat dus niet. (Er kunnen wel goede andere redenen zijn om unieke gebruikersnamen te hanteren. Op een forum als deze is het wel handig omdat iedereen de leden dan goed van elkaar kan onderscheiden maar op een website waar leden helemaal niet met elkaar bezig zijn zou ik dan noodgedwongen mijn naam moeten veranderen). In namen komen speciale tekens voor zoals een klinker met een trema bijvoorbeeld waarmee je dus rekening moet houden.

Daartegen kun je een email kolom best op uniek zetten en is deze altijd juist of anders krijgt de gebruiker zijn bevestigingslink niet binnen in zijn email box. Ook weet iedere gebruiker zijn mailadres, heel wat beter dan een frank12 :-(
Gewijzigd op 28/10/2017 09:32:09 door Frank Nietbelangrijk
 
- Ariën  -
Beheerder

- Ariën -

28/10/2017 09:42:29
Quote Anchor link
Het mailadres om mee in te loggen is niet iets wat openbaar hoeft te zijn. Het is puur een identificatiemiddel. Maar voor beheerder kan het weer handig zijn ;-)

Opsich is de gedachte om oude passwords op te geven niet zo heel slecht. je ziet het niet vaak meer, maar MSN (kennen we dat nog) bood vroeger die mogelijkheid. Ik mag hopen dat dit met eerdere hashes worden vergeleken, punt is dan wel dat de password's exact moeten overeenkomen. Iemand die 'Pasta1234' heeft, kan dan niet zeggen dat 'pasta1234' zijn password was.

Verder is kan je met het opslaan van oude wachtwoord-hashes ook zorgen dat iemand een om de zoveel tijd een nieuwe password moet afdwingen die niet gelijk is aan zijn vorige. Het is net hoe belangrijk je applicatie is. Maar als je na 'Boterham1234' het nieuwe wachtwoord 'boterham1234' kiest, dan kan dat gewoon, als het veilig in hashes wordt opgeslagen.
Gewijzigd op 28/10/2017 09:48:59 door - Ariën -
 
Rob Doemaarwat

Rob Doemaarwat

28/10/2017 10:20:05
Quote Anchor link
Nou, we weten ook weer wat - Ariën - als ontbijt had ... ;-)
 
- Ariën  -
Beheerder

- Ariën -

28/10/2017 10:24:48
Quote Anchor link
Rob Doemaarwat op 28/10/2017 10:20:05:
Nou, we weten ook weer wat - Ariën - als ontbijt had ... ;-)

Geen pasta in ieder geval ;-)
 
Jan R

Jan R

28/10/2017 10:30:58
Quote Anchor link
- Ariën - op 28/10/2017 00:32:38:
Waarom niet meteen je mailadres als gebruikersnaam laten gebruiken, net als hier op PHPhulp?
Die vergeet iemand niet zo snel, en is zelfs uniek.


E-mail is niet altijd uniek. Soms delen gezinsleden hun e-mailadres.

Jan
 
Frank Nietbelangrijk

Frank Nietbelangrijk

28/10/2017 11:42:25
Quote Anchor link
Jan R op 28/10/2017 10:30:58:
- Ariën - op 28/10/2017 00:32:38:
Waarom niet meteen je mailadres als gebruikersnaam laten gebruiken, net als hier op PHPhulp?
Die vergeet iemand niet zo snel, en is zelfs uniek.


E-mail is niet altijd uniek. Soms delen gezinsleden hun e-mailadres.

Jan



Hier gaat de schaats scheef rijden. Al wordt een mailadres door meerdere mensen gebruikt, het mailadres zelf is nog altijd uniek.

Daarbij komt dit tegenwoordig in mindere maten voor door de digitalisering en we hebben ook altijd nog een wachtwoord nodig om in te loggen. Dat dan geen twee gezinsleden die hetzelfde mailadres gebruiken een account kunnen aanmaken is dan mogelijk een nadeel.

Overigens gaat het er in dit topic om het resetten van een vergeten wachtwoord. Hier is het gebruik van het mailadres dan ook de beste keuze omdat je via de mail kan zorgen dat de reset-link enkel bij de juiste persoon (of personen voor Jan) komt.
Gewijzigd op 28/10/2017 11:49:32 door Frank Nietbelangrijk
 
Hans De Ridder

Hans De Ridder

28/10/2017 12:39:17
Quote Anchor link
Ik heb nu de mogelijkheden ingebouwd :
Wijzigen wachtwoord als je al ingelogd bent.
Wachtwoord vergeten.
Gebruikersnaam vergeten.
Gebruikersnaam wijzigen (nog in opbouw)
Hoewel alles in beschermde omgeving gebeurt,
vind ik een enkele validatie met uitsluitend email beetje eng.
Zeker de website waar ik mee werk.
De emails van artiesten zwerven als communicatiemiddel door heel Nederland, en daarbuiten.
Op flyers,(visite)kaartjes, enz.
Maar zal meer een gevoelskwestie zijn.

Google gebruikt een aantal methodes.
Invullen eerder gebruikt password opgeven eerst.
Passwords die je het afgelopen jaar niet hebt gebruikt.
Gebruikersnamen niet gelijk aan Passwords.
Unieke persoonlijke controlevragen.
SMS verificatie.
Emailverificatie.
Email verificatie via ander emailadres als gewoon.

Ik denk dat ik een mix doe van jullie opmerkingen, als dat eenvoudig kan.
Inloggen met password, in combinatie met keuze email of gebruikersnaam.
En wachtwoord vergeten met uitsluitend email.

Bedankt voor alle reacties tot nu toe.
Gewijzigd op 28/10/2017 12:43:54 door Hans De Ridder
 
- Ariën  -
Beheerder

- Ariën -

28/10/2017 12:57:56
Quote Anchor link
En als iemand zijn wachtwoord vergeten is, laat hem via een bevestigingsmail en nieuw wachtwoord genereren. En dus niet zelf eentje verzinnen.

2 Factor Authentication is ook een handige veiligheidsmaatregel.
Gewijzigd op 28/10/2017 12:58:57 door - Ariën -
 
Frank Nietbelangrijk

Frank Nietbelangrijk

28/10/2017 13:28:45
Quote Anchor link
Two factor authentication is inderdaad een goede oplossing. Ik ben zelf erg weg van de SMS verificatie alleen als je dat als gebruiker voor iedere login moet toepassen wel weer erg omslachtig en werkt het dus belemmerend. Maar je kan er ook voor kiezen om de sms verificatie alleen toe te passen voor registratie, profiel en wachtwoord aanpassingen. Nadeel is uiteraard dat je een aanvullende dienst/hardware nodig hebt.

Toevoeging op 28/10/2017 13:34:28:

Edit:

Je kunt ook eventueel de gebruiker vragen of hij gebruik wil maken van two factor authentication zodat je meer gebruikers tevreden stelt.
 
Willem vp

Willem vp

28/10/2017 13:54:08
Quote Anchor link
Jan R op 28/10/2017 10:30:58:
- Ariën - op 28/10/2017 00:32:38:
Waarom niet meteen je mailadres als gebruikersnaam laten gebruiken, net als hier op PHPhulp?
Die vergeet iemand niet zo snel, en is zelfs uniek.


E-mail is niet altijd uniek. Soms delen gezinsleden hun e-mailadres.

Bij mij is het precies andersom: ik gebruik op elke site een ander emailadres. Ik zit me nog wel eens af te vragen of ik een .nl of een .com-adres gebruikt heb voor een bepaalde website... ;-)
 
Jan R

Jan R

29/10/2017 08:55:37
Quote Anchor link
off topic
Willem vp op 28/10/2017 13:54:08:
Jan R op 28/10/2017 10:30:58:
- Ariën - op 28/10/2017 00:32:38:
Waarom niet meteen je mailadres als gebruikersnaam laten gebruiken, net als hier op PHPhulp?
Die vergeet iemand niet zo snel, en is zelfs uniek.


E-mail is niet altijd uniek. Soms delen gezinsleden hun e-mailadres.

Bij mij is het precies andersom: ik gebruik op elke site een ander emailadres. Ik zit me nog wel eens af te vragen of ik een .nl of een .com-adres gebruikt heb voor een bepaalde website... ;-)

Bij mij (bijna) ook maar niet bij al mijn leden.
 
Hans De Ridder

Hans De Ridder

29/10/2017 22:51:51
Quote Anchor link
Ik heb toch nog een opmerking...
Om je wachtwoord te resetten (of de gebruikersnaam) zit je uiteraard buiten de inlogprocedure.
Dus als iemand je emailadres heeft (zoals vaak is bij artiesten) dan kan hij je email overspoelen
met mededelingen dat je het wachtwoord kunt resetten met wachtwoordlink.
Ik neem aan dat de hash ook opgeslagen wordt.
Zou dan toch overwegen om elke aanvraag te checken op een reeds aanwezige hash.
En dan de het verzoek blokkeren gedurende de tijd dat de aanvraag geldig is.
Heb het even geprobeerd met de reset van PHPhulp....
Gewijzigd op 29/10/2017 22:53:06 door Hans De Ridder
 
- Ariën  -
Beheerder

- Ariën -

29/10/2017 22:57:33
Quote Anchor link
Hans De Ridder op 29/10/2017 22:51:51:
Ik heb toch nog een opmerking...
Om je wachtwoord te resetten (of de gebruikersnaam) zit je uiteraard buiten de inlogprocedure.
Dus als iemand je emailadres heeft (zoals vaak is bij artiesten) dan kan hij je email overspoelen
met mededelingen dat je het wachtwoord kunt resetten met wachtwoordlink.

Klopt, daarom raad ik aan om een IP-adres mee te sturen in de mail. Mocht het uit de hand lopen kan het slachtoffer bij de beheerder melding doen. Natuurlijk kan je er een rem op zetten, zodat ze maar 1 keer per 5 minuten iets mogen opvragen. De lol voor de grapjas is er dan snel vanaf.
Gewijzigd op 29/10/2017 22:57:54 door - Ariën -
 
Hans De Ridder

Hans De Ridder

29/10/2017 23:12:01
Quote Anchor link
Wanneer er nu bij mij wordt aangevraagd, dan wordt die value in de email opgeslagen op de server.
En na de wijziging wordt die value op NULL gezet.
Dus als er in de opslag een waarde staat, kun je toch ook op grond daarvan verdere aanvragen blokkeren.
Dan hoeft de ontvanger van de mail maar 1 keer te reageren (wachtwoord wijzigen of zelfde wachtwoord).
Na de max. tijd dat er response verwacht wordt, de value automatisch naar NULL. zetten.

En maatregelen nemen.... De email stuurder hoeft geen lid te zijn....
Gewijzigd op 29/10/2017 23:20:48 door Hans De Ridder
 
- Ariën  -
Beheerder

- Ariën -

29/10/2017 23:38:46
Quote Anchor link
...maar kan wel bijv. een IP-ban opgelegd krijgen bij hinder en overlast :-)
 

Pagina: 1 2 volgende »



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.