考虑到这篇论文和简单的常识:为什么后者比前者更容易受到攻击?
我的意思是,如果我们有窃听情况,那么两种情况之间的区别是什么:
- 纯文本:黑客请求恢复密码,获取密码,获得对帐户的访问权限 恢复链接
- :黑客请求密码恢复,捕获链接,使用它,获得对帐户的访问权限
我知道我们根本不可以将密码存储为纯文本,但让我们假设我们无法控制这部分——在这种情况下有什么区别吗?
存在以下好处:
- 当用户没有收到明文密码时,他们会感到更安全(即使它们保存在服务器上)
- 一次性链接确保用户更改密码(并且可能愿意将其放在某个地方或使用一些可以记住的密码)
- 最后但也许是最重要的 - 使用链接方法,黑客必须更改密码,并且用户可以通过看到他无法再登录来检测他的帐户已被破坏。