Bezpieczne logowanie i reset hasła

Aby poprawić bezpieczeństwo naszych użytkowników wprowadziliśmy kilka ulepszeń w systemie:

  1. Do każdego formularza logowania generowany jest specjalny kod sesji który jest ważny tylko dla jednej próby. Uniemożliwia to napisanie programu który generowałby losowe hasła i je sprawdzał w naszym systemie.
  2. Po zalogowaniu się do użytkownika i jego komputera (ściślej: do adresu IP) zostaje przypisany unikalny kod sesji (ważny do 24 godzin) który jest zapisany w bazie danych i sprawdzany przy każdej czynności użytkownika. Dzięki temu nie jest możliwe zalogowanie się na czyjegoś konto poprzez tzw. zatrucie sesji.
  3. Przy resecie hasła zamiast wysyłania nowego hasła do użytkownika, wysyłany jest link z kodem do zmiany hasła. Po jego kliknięciu wyświetla się strona na której należy dwukrotnie wpisać nowe hasło. Link jest ważny jednokrotnie, czynność należy wykonać w ciągu 24 godzin. Po zmianie hasła wysyłany jest automatyczny email z adresem IP komputera z którego zmieniono hasło i dokładną datą
  4. Przy zmianie hasła w systemie (po zalogowaniu się w ustawieniach konta) także jest wysyłany email z informacją o adresie IP z którego zmieniono hasło i dokładną datą.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *


*