Invio password ad utenti registrati

[newOne]

Salve,
ho una domanda da porvi.
In una tabella di un database ho i dati dell'utente. Tra i dati figura anche la password cifrata con un algoritmo md5.
Se l'utente dovesse dimenticare la password, come faccio ad inviare la password da lui scelta senza la cifratura?
Devo creare due colonne per la pw? Ad esempio: una contiene le pw cifrate e l'altra no. Cosi facendo perché cifrare se poi le pw sono visibili?

Esiste un altro modo?

Grazie

 

[dinet]

Ciao, le password vengono cifrate appunto per una questione di sicurezza.

Nel tuo caso puoi fare un cosa, se l'utente ha dimenticato la password, ne generi una casuale,e una volta che ha effettuato l'accesso gli dai la possibilità di cambiarla.
qui puoi trovare un 'esempio per lagenerazione di una password casuale:

http://dinetweb.altervista.org/2014/02/11/generate-random-password-php/

 

[marcomg]

Allora non la cifrare per niente. Molto semplicemente gli mandi un link che permette di reimpostare la password.

 

[flameseeker]

Mi permetto di intervenire non solo per sconsigliare l'archiviazione di password non cifrate nel database, ma soprattutto per consigliarti di utilizzare -quantomeno- un salt ed un algoritmo più forte per la cifratura.

Salvare le password criptate serve a far si che queste rimangano sicure anche nel caso in cui, per una falla nel sistema o altra incognita, un possibile malintenzionato riesca ad ottenere l'accesso ai dati.

La logica più semplice da attuare per il recupero password è quella già esposta da dinet: ne generi una casuale, la imposti per quella username, e la spedisci per email all'utente il quale dal suo pannello di controllo potrà presumibilmente modificarla.

 

[MMDesign]

La logica più semplice da attuare per il recupero password è quella già esposta da dinet: ne generi una casuale, la imposti per quella username, e la spedisci per email all'utente il quale dal suo pannello di controllo potrà presumibilmente modificarla.

Quello che dici è giusto ma mettiamo il caso qualcuno vorrebbe dare fastidio. Se il cambio della password non è stato richiesto direttamente dal proprietario ?

chiunque sapendo email o username potrebbe richiedere il cambio della password quindi costringete l'utente proprietario dell'account a ricevere un'email di modifica password dell'account senza che lui abbia mai richiesto nulla e di accedere ed andare a modificare nuovamente la password.

Per ovviare al problema è possibile fare uno script che invii un messaggio al proprietario di richiesta di modifica password per procedere può cliccare su un link "resetpsw.php?usr=username" dove gli verrà assegnata una nuova password e spedita all'indirizzo email.

Spero di essere stato chiaro

 

[flameseeker]

Come ho scritto era la cosa più semplice da fare, mi trovi d'accordo in linea di logica.

In realtà però, per fare una cosa fatta bene, andrebbe spedito all'utente un link (con un token di validità con scadenza di non più di 30 minuti) da cui permettergli di impostare manualmente la password con una scelta da lui.

 

[borgo italia]

ciao
e mettere, come in diversi log, una domanda che in teoria conosca solo l'utente?
in certi ti chiedono "come si chiama tui bisnonno?"
piò essere sicuro?

 

[MMDesign]

ciao
e mettere, come in diversi log, una domanda che in teoria conosca solo l'utente?
in certi ti chiedono "come si chiama tui bisnonno?"
piò essere sicuro?

Tutto può essere implementato per quanto riguarda la sicurezza. Dipende però come viene sviluppato non vorrei esagerare ma il 60-70% di chi programma copia sorgenti da zio google che risultano pieni di bug o cose simili che possono essere usati da malintenzionati.

Sopratutto per chi conosce la persone fisica rispondere a queste domande è un gioco da ragazzi. :]

 

[newOne]

Grazie a tutti per le risposte e per i consigli.