przypomnienie hasla - algorytm Opcje

[andycole]

Witam,

Opcja przypomnienia hasla na serwisie.
Do dyspozycji mam jedynie e-maila uzytkownika.
W zasadzie w wiekszosci przypadkow robi sie to chyba tak:

Uzytkownik proszony jest o podanie e-maila, jezeli e-mail znaleziony zostal w bazie, zostaje wygenerowane nowe haslo, ktore zapisujemy do bazy i wysylamy uzytkownikowi na e-maila, deaktywujac jednoczesnie konto. W mailu oprocz nowego hasla przesylamy link aktywujacy.
Glowny minus tego rozwiazania: ktos moze kilka razy dziennie zmieniac nam haslo wiedzac, ze nasz mail figuruje w bazie danych.

Proponowane rozwiazanie:

Uzytkownik podaje e-maila, jezeli istnieje w bazie, proszony jest o haslo do skrzynki pocztowej. Za pomoca curl'a sprawdzam czy mozna sie zalogowac do skrzynki, jezeli tak to wysylamy/wyswietlamy mu nowe haslo.

Czy taki pomysl jest dobry? W kwestii pracy z curlem jestem poki co teoretykiem jedynie (IMG:style_emoticons/default/tongue.gif)

[andycole]

Tak, racja, racja, problem juz rozwiazalem w taki sposob:

user podaje maila
na maila w linku wysylam id usera, token (md5(hash.mail)) i md5(nowe haslo)...
dopiero po kliknieciu w linka haslo jest zmieniane...
a token stworzony na podstawie maila to po to by nie tworzyc nowych zbednych kolumn w tabeli

[viking]

Tak, racja, racja, problem juz rozwiazalem w taki sposob:

user podaje maila
na maila w linku wysylam id usera, token (md5(hash.mail)) i md5(nowe haslo)...
dopiero po kliknieciu w linka haslo jest zmieniane...
a token stworzony na podstawie maila to po to by nie tworzyc nowych zbednych kolumn w tabeli

A po co w ogóle słać użytkownikowi nowe hasło? Ja mam jeszcze (pomijając że do tego jest cała tabela załóżmy "nowehasla", w końcu od tego jest baza) czas wysłania który aktywny jest przez x dni. Po tym czasie trzeba wygenerować nowy hash. Oczywiście aktywny jest tylko jeden na raz dla danego konta. Oprócz tego zbieram IP i wyświetlam użytkownikowi żeby mógł sobie sprawdzić czy ktoś nie kombinuje z jego kontem.