我曾介绍过以Email地址登录基于Membership管理的网站的方法,并指出这是一种更为安全的做法,用户的Email通常不会暴露在网站中,而不知道Email也就无从破解实现登录。
但是在密码找回时,Asp.net提供的PasswordRecovery控件还是要求用户输入用户名以重置密码的,这无疑会使使用了Email地址登录方案的网站的安全系数降低。
并且无论网站是否使用Email地址登录,只要是禁用了安全提问,那么直接在找回密码的地方输入用户名,系统就会自动将用户密码重设为一个新的随机密码,并将其发到注册邮箱,这样极可能被别有用心的人利用,也就是说别人可以轻而易举地随时重置你的密码,让你无法正常登录,必须去自己邮箱里捡回新的密码,这显然是不对的。
那么如何使PasswordRecovery控件支持Email地址索回密码呢?其实非常简单:
首先设置PasswordRecovery控件的一些显示属性,使提示信息引导用户输入Email地址,而非用户名:
接着只要实现其VerifyingUser事件处理函数,进行如下处理即可:
protected void PasswordRecovery1_VerifyingUser(object sender, LoginCancelEventArgs e)
{
PasswordRecovery1.UserName = Membership.GetUserNameByEmail(PasswordRecovery1.UserName);
if (PasswordRecovery1.UserName == null || PasswordRecovery1.UserName.Length==0)
{
PasswordRecovery1.UserNameInstructionText = "邮箱地址输入有误,或此邮箱地址未经注册。";
e.Cancel = true;
}
}
这样只有用户输入了正确的邮件地址,才能进行密码重置,并收取到新密码。
当然为了使控件进行密码重置,你的Web.config得配置好相应的membership节点,并且为了正常发送邮件,也需要配置好其中的mailSettings节点,这就不在本文讨论范围了,如需了解,可参考此书内容:http://book.csdn.net/bookfiles/488/10048816972.shtml
这样做虽然站内的一般用户不会知道别人的Email地址,无法实现恶意重置,但是熟人或者对某用户有一定了解的人还是知道该用户的常用Email地址的(比如可以从某人的博客获得其Email地址),那么这种情况如何避免呢?
我建议应在找回密码的邮件中,向用户提出警示,并在其中显示提交者的IP地址,让其自己来处理:
注意:如果您并未申请密码找回,而意外收到此函,则表示您的帐户安全可能受到威胁。
因为申请密码找回时需要提供您的注册邮箱地址,而在本站内是不会公开您的注册邮箱地址的,所以极有可能是某个知道您邮箱地址的熟人所为。
我们记录的提交此申请的用户IP地址为127.0.0.1,您可以此展开调查。
并且,强烈建议您以上述信息登录后,立即改变您的注册邮箱。