"Kasper Katzmann" <kasper@udenbilkatzmann.dk> wrote in
news:dhe67i$gnk$1@news.net.uni-c.dk:
> Når brugere opretter en profil på mit (kommende) site så krypteres
> deres adgangskode med MD5 hash kryptering.
>
> Men hvis samme bruger senere glemmer sin adgangskode, så ville jeg
> gerne tilbyde en "Glemt password?" funktion. Problemet er bare, at så
> vidt jeg kan regne ud, så kan adgangskoden ikke vendes om, så jeg kan
> sende det tilbage til brugeren.
Det kan den heller ikke (nemt) - det er hele pointen i en hash-funktion
> Så hvordan bærer man sig ad med at sende koden tilbage?
> Er der en løsning på det problem eller må jeg bare droppe MD5'eren
Lad mig starte med at understrege, at du gør det rigtige ved at hash'e
dine passwords inden de gemmes i databasen.
Hvis én af dine brugere glemmer sit password, så gør du følgende:
1. Lav et nyt tilfældigt password og send dette til brugeren
2. Sørg for at dette nye password kun kan bruges én gang
3. Efter brugeren er logget ind med det nye password, tvinger
du hende til at lave et nyt password.
--
Jesper Stocholm
http://stocholm.dk
Findes din kiosk på nettet? Se
http://ekiosk.dk