none
cual seria un buen procedimiento para que el usuario pueda recuperar su contraseña en una aplicacion web en ASP RRS feed

  • Pregunta

  • Mi idea es mandarle la contraseña a su correo, una vez que confirme su nombre de usuario, pero no siento que sea muy segura, alguna sugerencia? gracias!


    Carlos7

    viernes, 2 de noviembre de 2012 21:57

Todas las respuestas

  • Puedes mejorarla si antes de enviarle la contraseña le preguntas una de x preguntas pesonales (mascota, color favorito, etc). Mejor aun si puedes enviar a su teléfono celular un id que debe introducir en la web para verificar que es el usuario legal el que lo solicita.
    sábado, 3 de noviembre de 2012 13:09
  • En vez de mandarle la contraseña, puedes enviarle algún código (quizá con el celular) que luego deba indicar al hacer clic en algún enlace adjunto al correo... una vez indicando el código dentro del enlace, mas un captcha, le das acceso a otro formulario donde el mismo restablezca su contraseña... Esto último lo notificas por correo indicando que se realizaron cambios en cu contraseña, en caso de que el no lo haya hecho que llame a soporte =P

    Saludos!


    Miguel Salazar

    sábado, 10 de noviembre de 2012 9:01
  • Adicionalmente NUNCA guarde contraseñas de personas.  Es muy mala práctica y lo expone a usted y su compañía a posibles litigios legales por daños y perjuicios en caso de que la información sea robada.  Las contraseñas se utilizan para generar un hash y es ese hash el que se guarda en base de datos.  Como el hash es irreversible (no puede obtenerse la contraseña original a partir del hash), no hay posibilidad de robo de contraseñas.  Eso sí, tampoco hay posibilidad de enviarle al usuario su contraseña porque ni usted mismo la conoce.  Eso es bueno, créame.  Hay cosas que es mejor no saber y contraseñas es una de ellas.

    Jose R. MCP
    Code Samples

    sábado, 10 de noviembre de 2012 17:54
    Moderador
  • José, por algo eres moderador. Tienes toda la razón. De hecho, en mis bases de datos en web, se almacenan de esa manera. Lo que realmente quería decir, es permitir crear una nueva contraseña con estos métodos de seguridad.

    Por nombrar solo uno, cuando voy a abrir mi correo de GMail en un computador que no es el 'mío' me envía una clave a mi(s) teléfonos celulares que he registrado en mi cuenta.

    Una web espera a que introduzca ese id para permitirme el acceso. Luego puedo indicar que ese ordenador o dispositivo es de confianza y evitar el proceso.

    IDEM con mi banco personal.

    Gracias por aclaralo a la comunidad, muy buena observación.

    sábado, 10 de noviembre de 2012 19:14
  • En vez de mandarle la contraseña, puedes enviarle algún código (quizá con el celular) que luego deba indicar al hacer clic en algún enlace adjunto al correo... una vez indicando el código dentro del enlace, mas un captcha, le das acceso a otro formulario donde el mismo restablezca su contraseña... Esto último lo notificas por correo indicando que se realizaron cambios en cu contraseña, en caso de que el no lo haya hecho que llame a soporte =P

    Saludos!


    Miguel Salazar

    Gracias, buena respuesta

    Carlos7

    lunes, 12 de noviembre de 2012 16:17
  • Adicionalmente NUNCA guarde contraseñas de personas.  Es muy mala práctica y lo expone a usted y su compañía a posibles litigios legales por daños y perjuicios en caso de que la información sea robada.  Las contraseñas se utilizan para generar un hash y es ese hash el que se guarda en base de datos.  Como el hash es irreversible (no puede obtenerse la contraseña original a partir del hash), no hay posibilidad de robo de contraseñas.  Eso sí, tampoco hay posibilidad de enviarle al usuario su contraseña porque ni usted mismo la conoce.  Eso es bueno, créame.  Hay cosas que es mejor no saber y contraseñas es una de ellas.

    Jose R. MCP
    Code Samples

    Muy buena respuesta,  gracias

    Carlos7

    lunes, 12 de noviembre de 2012 16:20