Mysql
 sql >> Base de Dados >  >> RDS >> Mysql

Como tornar minha função de redefinição de senha do codeiginter segura?


Eu li seu código e acho que mesmo se eu adicionar um limite de tempo para usar o novo token, ainda não é seguro. De acordo com owasp cheatsheat na recuperação de senha , Você pode fazer melhor do que isso. Eu encurto um pouco para você. Eles nomeiam cinco pontos.
  1. Use alguns dados que você coletou no processo de registro do usuário - pode ser aniversário, número de telefone celular, sobrenome etc.
  2. Use perguntas de segurança e coloque as entradas de resposta como texto puro, não faça uma lista suspensa ou algo assim. Limite aqui o número de palpites. Não seja trivial e inventivo na construção dessas perguntas.
  3. Após a etapa dois, é recomendável bloquear a conta do usuário imediatamente. Gere um token de senha com tempo limitado e envie-o (pelo menos tente) por meio de um canal de comunicação diferente, talvez com sms ou para um e-mail secundário.
  4. Fique de olho na sessão e permita redefinir a senha apenas durante a sessão atual. Imponha a complexidade da senha nesta etapa (você pode usar algum plugin jquery para isso).
  5. Tente registrar ações do usuário, endereço IP, dados do navegador. Concentre-se em tentativas com falha ou usando tokens expirados. Dessa forma, você pode monitorar comportamentos maliciosos e tirar algumas conclusões.

E aqui está minha pequena atualização. Eu uso a coluna updated_at, que pode ser útil em muitas outras situações ou você pode especificar sua própria coluna apenas para limitar o tempo de redefinição da senha. 
<?php

public function recover(){
    $data['main_content'] = 'auth/recover';
    $this->load->view('public/layouts/home_main', $data);
}

public function recover_account(){
    $this->form_validation->set_rules('username','Username','trim|xss_clean|required');
    if ($this->form_validation->run() == FALSE){
        //Show View
        $data = array(
            'errors' => validation_errors()
        );
        $this->session->set_flashdata($data);
        $data['main_content'] = 'auth/recover';
        $this->load->view('public/layouts/home_main', $data);
    }
    else{
        $account = $this->input->post('username');
        if($this->User_model->user_exist($account)){
            $options = [
                'cost' => 8,
                'salt' => mcrypt_create_iv(22, MCRYPT_DEV_URANDOM),
            ];
            $temp_pass = password_hash(rand(23456,975655), PASSWORD_BCRYPT, $options);
            $reset_code = rand(23456,975655);
            $data = array(
                'reset_link_code' => $reset_code
            );
            $this->session->set_userdata($data);

            $this->email->from('[email protected]', 'Your Name');
            $this->email->to('[email protected]');
            $this->email->subject($reset_code);
            $this->email->message(
                'Testing the email class.'.' pass: <a href="'.base_url().'auth/reset_password?user='.urlencode($account).'&code='.urlencode($temp_pass).'&rstc='.urlencode($reset_code).'">Click Here</a>'
            );
            $db_pass = array(
                'password' => $temp_pass,
                'updated_at' => time() //or even date("Y-m-d H:i:s")
            );
            $this->db->where('email', $account);
            $this->db->or_where('username', $account);
            $this->db->update('users', $db_pass);

            if($this->email->send()){
                echo 'Passowrd resend link sent to email';
            }else{
                echo 'email count not check, pls talk to support';
            }
        }else{
            echo "User not Fount";
        }
    }
}
function reset_password(){
    $email = urldecode($this->input->get('user', true));
    $temp_pass = urldecode($this->input->get('code', true));
    $reset_code = urldecode($this->input->get('rstc', true));

    if($email && $temp_pass && $reset_code){

        $this->form_validation->set_rules('user','Username','trim|xss_clean|min_length[4]');
        $this->form_validation->set_rules('newpass','Password','trim|xss_clean|required|min_length[4]|max_length[50]');
        $this->form_validation->set_rules('newpass2','Confirm Password','trim|xss_clean|required|matches[newpass]');

        if($reset_code == $this->session->userdata('reset_link_code')){
            //get user data by email
            //$user = $this->User_model->get_heshed_password($email);
            $user = $this->User_model->get_heshed_password_and_updated_value($email);

            //calculate time difference
            $dbdate = strtotime($user->updated_at);
            if (time() - $dbdate > 15 * 60) {
                // 15 mins has passed
                $time_allowed = false;
            } else {
                $time_allowed = true;
            }

            if($temp_pass == $user->password && $time_allowed){
                if ($this->form_validation->run() == FALSE){
                    //Show View
                    $data = array(
                        'errors' => validation_errors()
                    );
                    $this->session->set_flashdata($data);
                    $data['main_content'] = 'auth/reset_password';
                    $this->load->view('public/layouts/home_main', $data);
                }
                else{
                    $options = [
                        'cost' => 8,
                        'salt' => mcrypt_create_iv(22, MCRYPT_DEV_URANDOM),
                    ];
                    $password = $this->input->post('newpass');
                    $passtodb = password_hash($password, PASSWORD_BCRYPT, $options);
                    $data = array(
                        'password' => $passtodb
                    );
                    $this->db->where('email', $email);
                    $this->db->or_where('username', $email);
                    $this->db->update('users', $data);
                    redirect('account');
                }

            }
        }else{
            echo 'invalid reset code';
        }

    }else{
        redirect('/');
    }
}