что такое емейл при регистрации на сайте восстановления пароля
Что делать, если забыл пароль от почты
Порой пользователю по ряду причин необходимо узнать пароль от электронной почты. Это реально только при условии его сохранения в браузере или при активированной опции автозаполнения. В статье рассмотрим универсальные способы восстановления пароля.
Как узнать пароль своего e-mail
Мы расскажем, что делать, когда забыл свой пароль от почтового ящика в интернете. Стандартно существует 2 варианта и один альтернативный, когда в браузере автоматически не сохраняются входные данные.
Посещаем архив в браузере
Самое простое, что можно предпринять при невозможности зайти в свою почту, посмотреть пароль в браузере. Большинство веб-обозревателей при первом вводе логина и пароля предлагают их сохранить, чтобы при каждом последующем входе не повторяться. В разделе настроек можно просмотреть все введенные ранее данные, в том числе и код от эл. почты.
Рассмотрим план действий на наглядном примере Google Chrome:
Вот так просто можно узнать пароль учетной записи. Скопируйте его куда-нибудь, чтобы при необходимости быстро посмотреть.
Смотрим код элемента
Сохраненная секретная информация в веб-обозревателе, всегда отображается в графах в виде точек (звездочек) при входе на любой запороленый ресурс. Путем внесения изменений в код элемента можно добиться отображения строки в текстовом режиме.
Выполните следующие шаги:
Как посмотреть пароль в других браузерах:
Восстанавливаем пароль
К сожалению, не все юзеры включают функцию сохранности паролей и автоматического заполнения. Порой требуется войти в свою почту через чужой ПК. В подобных ситуациях остается попытаться вспомнить комбинацию либо подобрать интуитивно. А проще всего поменять пароль на новый через опцию восстановления.
Для этого заходите на сайт, где регистрировали свой электронный ящик. В данном примере это mail.ru. Кликните по ссылке «Забыли пароль?».
Следующим шагом вы вбиваете в соответствующую графу логин и верное окончание (@майлl.ру, outlook.com, @bk.ru, @gmail.com и др.).
Вам предложат 2 варианта действий:
Подобрав вариант, дальше действуйте согласно направлениям системы.
Мы выберем способ с телефоном. Напротив него ставите галочку, дописываете номер своего мобильного. После этого жмите на «Ввод».
Сразу же на сотовый приходит СМС с кодом, который переписываете в строку на экране.
Подтверждаете свою личность и придумываете новый пароль.
Как войти на Емайл почту «Моя страница» без пароля
На свою страницу в email-почте есть возможность зайти без пароля, при условии ранее настроенного доступа по отпечатку пальца, USB-, Bluetooth- или NFC-ключу. Подобные варианты самые безопасные, поскольку гарантирует защиту от взлома на 100%.
Как активировать вход по отпечатку:
После подтверждения своих действий, вы сможете входить в личную учетную запись с помощью пальца.
Включение входа по внешнему устройству:
Еще один способ открытия почты без пароля – одноразовый код. При каждом вхождении система будет присылать на сотовый телефон пароль.
Для настройки вам надо пройти в раздел «Пароль и безопасность» и там обозначить вариант доступа: по стационарному паролю или одноразовому.
Теперь при желании открыть электронную почту вам будут приходить СМС с кодовой комбинацией. Ее вводите в соответствующую графу на ПК.
Как подобрать пароль
Если испробованы все способы восстановления забытого пароля от почты, остается только несанкционированный взлом. Сделать это можно следующим образом:
Полезный совет
Чтобы быть уверенным, что вы попадете в свой почтовый ящик при утрате пароля, надо заранее подстраховаться. Желательно привязать свою учетную запись к нескольким гаджетам (мобильному телефону, планшету), которыми вы часто пользуетесь для просмотра почты.
Например, при неудачной попытке войти на свою страницу с ПК, можно осуществить вход со смартфона или другого устройства, в котором почта еще открыта. Там сбрасываете старый код с заменой на новый.
Частые вопросы
Как поменять код от почты или секретный вопрос?
Для смены пароля откройте в правом верхнем углу меню и кликните по пункту «Сменить пароль».
В открывшемся окошке сначала впишите действующую комбинацию, затем продублируйте новую. Далее введите капчу и нажмите на сохранение.
Почему в mail.ru не получается в настройках отыскать сохраненный пароль почтового ящика?
В Хроме пароль точно сохранился, только искать его следует не в настройках, а конкретно во вкладке «Сохраненные пароли». Если не получается, то выходите из своего аккаунта, чистите память и перезапускаете браузер. Затем повторяете попытку поиска.
При восстановлении пароля система запрашивает дополнительный e-mail. Если у меня его нет, что делать?
Тогда надо ввести номер мобильного, который был привязан при регистрации. Если же вы этого не сделали, то восстановить доступ к почте вряд ли удастся.
Надеемся, что данная статься помогла вам в случае возникших затруднений при входе в личный емайл-ящик.
Восстановление пароля на PHP
В этой статье вы прочитает про то, как сделать восстановление пароля на PHP для вашего сайта, будет очень интересно.
Также перед тем как начать читать эту статью, посмотрите: Как сделать регистрацию на PHP через email, потому что мы будем делать на базе кода из этой статьи, поэтому это будет полезно.
Как будет работать восстановление пароля:
Для начала разберём как будет работать программа, при нажатие на ссылку «забыл пароль», вас перекинет на страницу, где надо будет ввести Email.
После того как вы впишете в поле Email и отправите его, в программе генерируется хеш и обновляется он в базе данных, это нужно, что бы не кто ни мог вам сам поменять пароль не зная ваш хеш. После этого вам на почту придёт письмо со ссылкой на страницу где будет генерироваться пароль, но ссылка будет с GET запросом, который и будет этот хеш.
Создание восстановление пароля на PHP:
Теперь перейдём к самому созданию этой программы, для этого, когда уже создали регистрацию и авторизацию, если нет, то посмотрите статью по этой ссылки, на странице авторизации добавьте ссылку на страницу отправки Email для восстановления пароля.
Но перед этим конечно нужно сделать PHP файл, куда ссылаться в ссылке.
Также нужно создать Базу данных, но повторятся я не хочу, поэтому выше уже есть ссылка на статью, где мы создаём нужную БД, сразу перейдём к созданию программы.
Что такое емейл при регистрации на сайте восстановления пароля
Reg.ru: домены и хостинг
Крупнейший регистратор и хостинг-провайдер в России.
Более 2 миллионов доменных имен на обслуживании.
Продвижение, почта для домена, решения для бизнеса.
Более 700 тыс. клиентов по всему миру уже сделали свой выбор.
Бесплатный Курс «Практика HTML5 и CSS3»
Освойте бесплатно пошаговый видеокурс
по основам адаптивной верстки
на HTML5 и CSS3 с полного нуля.
Фреймворк Bootstrap: быстрая адаптивная вёрстка
Пошаговый видеокурс по основам адаптивной верстки в фреймворке Bootstrap.
Научитесь верстать просто, быстро и качественно, используя мощный и практичный инструмент.
Верстайте на заказ и получайте деньги.
Что нужно знать для создания PHP-сайтов?
Ответ здесь. Только самое важное и полезное для начинающего веб-разработчика.
Узнайте, как создавать качественные сайты на PHP всего за 2 часа и 27 минут!
Создайте свой сайт за 3 часа и 30 минут.
После просмотра данного видеокурса у Вас на компьютере будет готовый к использованию сайт, который Вы сделали сами.
Вам останется лишь наполнить его нужной информацией и изменить дизайн (по желанию).
Изучите основы HTML и CSS менее чем за 4 часа.
После просмотра данного видеокурса Вы перестанете с ужасом смотреть на HTML-код и будете понимать, как он работает.
Вы сможете создать свои первые HTML-страницы и придать им нужный вид с помощью CSS.
Бесплатный курс «Сайт на WordPress»
Хотите освоить CMS WordPress?
Получите уроки по дизайну и верстке сайта на WordPress.
Научитесь работать с темами и нарезать макет.
Бесплатный видеокурс по рисованию дизайна сайта, его верстке и установке на CMS WordPress!
Хотите изучить JavaScript, но не знаете, как подступиться?
После прохождения видеокурса Вы освоите базовые моменты работы с JavaScript.
Развеются мифы о сложности работы с этим языком, и Вы будете готовы изучать JavaScript на более серьезном уровне.
*Наведите курсор мыши для приостановки прокрутки.
Восстановление пароля по Email для зарегистрированного пользователя
Размер: 75,6 Мб.
Длительность: 26 мин. 28 сек.
В этом видеоуроке мы разберем создание функции, позволяющей сгенерировать новый пароль для зарегистрированного пользователя.
Если человек забывает свой пароль, то он указывает свой Email и на него приходит заново сгенерированный пароль, т.к. предыдущий хранится в базе в виде хэша и не подлежит восстановлению.
Для реализации данного функционала нам нужна некоторая «база», которую мы создали в уроке «Хранение пароля пользователя в базе в зашифрованном виде».
В этом уроке мы будем продолжать работать с теми файлами, что были созданы нами ранее, и к уже имеющемуся функционалу добавим возможность заново сгенерировать пароль в том случае, если он был утерян или забыт.
Пароль мы генерируем заново потому, что в базе хранится не сам пароль, чтобы мы просто могли выслать его пользователю, а хэш пароля, из которого напрямую нельзя вывести захэшированную строку.
Для отправки же почты мы будем работать с удобным классом Email, также входящим в набор базовых классов в CodeIgniter.
Для ознакомления с содержанием урока Вы можете просмотреть видео ниже. Скачать видеоурок в высоком качестве можно по ссылке выше.
P.S. Хотите двигаться дальше в освоении PHP? Обратите внимание на премиум-уроки по различным аспектам сайтостроения, включая программирование на PHP, а также на бесплатный курс по созданию своей CMS-системы на PHP с нуля. Все это поможет вам быстрее и проще освоить этот мощный язык веб-разработки:
Понравился материал и хотите отблагодарить?
Просто поделитесь с друзьями и коллегами!
Заметки о безопасности. Восстановление пароля
Хотелось бы немного рассказать о подходе повествования в данном посте. Всё описанное имеет реальные случаи произошедшие из моей личной практики, в большинстве своём это популярные проекты, поэтому в тексте буду их упоминать. Главное на что я хотел бы обратить внимание — эта статья может показаться не интересной специалистам ИБ, т.к. она не содержит никаких новых векторов атаки и супер крутых подходов. Вся информация ориентирована на разработчиков и проект-менеджеров.
Проводя заказы на аудит целью ставится аналитика максимального ущерба при минимальных действиях и знаниях злоумышленника. Как показывает практика в суровых условиях производства ПО такие нюансы продумывают единицы проектов.
И так, рассмотрим слабые места каждого из пунктов выше.
Контрольный вопрос — ответ
Одним из серьёзных упущений данного подхода чаще всего является отсутствие возможности задавать свой вопрос, а так же после ввода правильного ответа выдача формы с вводом нового пароля.
По оперативной информации было выяснено, что данная атака проводилась на компанию WesternUnion и дала повод серьёзно задуматься о безопасности данной функции, а так же временно ограничить её. Проведя аналитику сервиса было установлено, что на выбор для пользователя давалось 3 варианта вопросов: имя домашнего питомца, родной город и девичья фамилия матери. Ответы на эти вопросы получить для десятков пользователей по средством социальной инженерии не составило труда. На помощь пришли социальные сети facebook, twitter, lj и другие.
Помимо социальной инженерии была и более техническая возможность, варианты с ответом на родной город и имя питомца возможно было подобрать по небольшим словарям. Данную атаку можно было предотвратить дополнительным полем каптчи, что в последствии и было сделано. Таким образом из-за обычной недоработки функционала восстановления паролей злоумышленники смогли получить доступ к функции переводов WU с повышенными лимитами от профилей скомпрометированных пользователей. База по которой отрабатывали пользователей (логины и емайлы) была получена из другого источника, через более банальную уязвимость sql-injection, так же был размещён вредоносный код на главной странице взломанного сайта.
Уникальная ссылка на email
Отсылка нового/действующего пароля на email
BONUS: В одной популярной онлайн игре Stronghold Kingdoms была одна единственная sql-injection в формах восстановления пароля/регистрации на поле логин(он же email) был ajax-запрос с проверкой существования данной записи в базе. Подобная проверка так же встречается очень часто на разных сайтах и хотелось бы описать возможности её эксплуатации даже если там нет sqli. Обычно это получение части базы пользователей: берут большие базы email адресов и прогоняют на существования их на сайте. А потом используют найденные для подбора логина/пароля. Это Вам может показаться очень странным и маловероятным, но если на кону стоят деньги или энтузиазм (а может оба), то нет ничего невероятного. Так же стоит отметить, что при восстановлении пароля бывает, когда просит ввести логин пользователя, а потом выдаёт сообщение на какой email был выслан пароль, что тоже может служить поводом для получения доступа к данной почте. Обязательно скрывайте звёздочками часть email.
SMS OTP (One-time password)
Поскольку предыдущий пункт был очень скучный и разжеванный К.О., то предлагаю последним пунктом взять более интересную и не менее распространённую задачку с временными смс-кодами, тем более, что этот смс-код можно не только обойти, но и заставить владельца сайта раскошелиться.
Одним из заказов на аудит была Украинская компания, название её остаётся в секрет в связи с NDA. Это финансовый сервис, который был фанатично привязан к SMS OTP, чуть ли не на каждое действие. Меня это изрядно раздражало при тестировании, т.к. приходилось сидеть в обнимку с мобильным и вводить эти коды каждый раз. Но как оказалось потом, после авторизации можно было в профиле сменить смс-пароль, на обычный пароль. И тут мне это показалось отличным шансом взять за основу SMS OTP для получения доступа к учётным записям пользователей. Код приходящий по sms представлял из себя всегда 6 цифр и тут нельзя не упомянуть про md5(1234) который мы рассматривали выше. Да, логика у меня была той же. Первым делом я проверил кол-во попыток на ввод код и они оказались неограниченными, после было дело времени, написание рабочего прототипа для подбора SMS OTP и отправки запроса на установку в профиле своего пароля 12345.
Таким образом удалось получить доступ к тестовому пользователю и осуществить от него вывод денежных средств с баланса.
На этом я не остановился, во время тестирования я отослал себе уйму смсок на телефон и решил посчитать затраты:
1 смс = 0.30 коп * реальная стоимость смсок для этого клиента
Скрипт выполняющийся в 10 потоков шлёт минимум 1 запрос в секунду, то есть 10 запросов в секунду.
Итого за 24 часа работы скрипта мы можем отослать 10 * 60 * 60 * 24 = 864 000 смс, что обойдётся клиенту в 259 200 Российских рублей (>$8000).
Вывод: используйте ограничения как на отправку смс для одного логина, так и кол-во попыток проверки OTP.
Отдельным пунктом хочу отметить отсылку любой информации по смс без ограничений, например смс подписку на рассылку новостей, когда вводиться только номер телефона. Или после регистрации смс-код активации.
Для злоумышленников это золотая жила, данный функционал используют для флуда телефонов, автоматизируют ваши запросы и вводят номера жертвы, после чего заваливают его вашими смсками с кодом или сообщением об успешном подписании на новости.
На этом про восстановление паролей хотел бы закончить. Единственное что хотелось бы добавить, что подобная уязвимость, как недостаточная сложность паролей и хешей в огромных кол-вах нас окружает. Последний такой пример компания СИТИЛИНК у которой дисконтные карты выдаются только для покупателей заплативших за раз от 5000р. Сама по себе карта очень полезная и позволяет экономить. Но вот технически карта является обычным 6 значным номером + 4 значным кодом активации с неограниченными попытками подбора этого кода.
Так же стоит отметить недавний инцидент со skype, когда при ошибке восстановления пароля можно было получить доступ к чужой учётной записи.
Когда работаешь в данном направлении и каждый раз изучаешь разные аферы, иногда просто удивляешься как до такого могли вообще додуматься. Многое скажите Вы очевидные вещи, но все эти очевидные вещи становятся только после того, как мы обращаем на них внимания, а обычно это бывает по факту совершения злоумышленниками преступления.
Очень часто мне задают вопрос, а кто из сотрудников должен отвечать за подобные недоработки? И мне действительно хочется сказать, что все понемногу виноваты. Но когда я смотрю на эти вещи не как специалист по ИБ, читающий кучу новостей и статей, проводящий мониторинг тематических форумов и вникающий во все мошеннические схемы, а как обычный человек без всей это информации, то одёргиваю себя и останавливаюсь на мысли, что только человек имеющий всю это корыстную гадость в голове сможет обдумывать все эти нюансы заранее и причём сложность действий зависеть будет только от его изощрённого воображения. 🙂
На этом первую часть объявляю оконченной. Если подход в данной статье Вам понравится, то продолжу писать. Имеется много примеров, которые я раскидал на разные темы.
Отправляем email для восстановления пароля
Здравствуйте, уважаемый посетитель!
В предыдущей статье мы рассмотрели отправку email для восстановления логина учетной записи зарегистрированного пользователя. А сегодня посмотрим, как с использованием почты восстановить пароль.
Следует отметить, что алгоритм восстановления логина и пароля во многом схож. Однако, помимо общих операций, присутствующих в обоих случаях, при восстановлении пароля требуется предусмотреть дополнительные мероприятия, необходимые для обеспечения более высокой степени защиты восстанавливаемых данных.
А о том, чем это достигается, мы здесь подробно и рассмотрим. Но прежде чем к этому приступить, желательно ознакомиться с предыдущей статьей, в которой подробно рассказывается об аналогичных действиях, которые мы будем использовать и в данном случае.
Алгоритм восстановления пароля учетной записи пользователя
В предыдущей статье уже рассказывалось об алгоритме действий при восстановлении данных учетной записи пользователя. Сейчас сформулируем это в части, касающейся пароля, выделив пункты, которые дополнительно добавляются к ранее используемым при варианте с логином.
В данном случае после оправки пользователем запроса на восстановление пароля (пункт 1,2), при наличие в базе данных введенного адреса email (пункт 2,б), формируется одноразовый ключ (пункт 2,б,ii). Который сохраняется, как в базе данных (пункт 2,б,iii), так и вставляется в виде GET-параметра в ссылку почтового сообщения (пункт 2,б,iv).
Далее, в отличие от варианта восстановления логина, пользователю отправляется письмо не с самими данными, а со ссылкой на страницу сайта, на которой предоставляется возможность их восстановить (смена пароля на новый, пункт 2,б,v).
Таким образом алгоритм действий по восстановлению пароля мы разобрали, и теперь можно перейти к его реализации.
Формируем форму восстановления пароля
Форма для восстановления пароля предназначена точно для таких же целей, как и в предыдущем случае, а именно: для оправки пользователю электронного сообщения в соответствии введенным адресом email.
Поэтому и HTML-код ее будет полностью повторять ранее рассмотренный вариант. За исключением только адреса обработчика, указанного в атрибуте формы action.
Восстановление пароля
Введите указанный при регистрации e-mail, на который будет выслано письмо, предназначенное для восстановления пароля.
Рис.1 HTML-код формы восстановления пароля
Как видно, здесь указан адрес /user/password/otpravka-email-dlya-vosstanovleniya-parolya.html (поз. 6), в соответствии с которым мы следующим шагом будем создавать файл обработчика формы.
А что касается размещения формы, то, как и в предыдущем случае, ее код мы поместим в поле «content» таблицы «url» базы данных, предназначенном для размещения основного содержания страниц сайта. Обусловлено это тем, что в отсутствии PHP-кода нет необходимости использовать для этого файл.
Ниже показан скриншот записи таблицы «url», соответствующей странице «Восстановление пароля», с размещенным в области основного содержания HTML-кодом данной формы.
Рис.2 Размещение формы восстановления пароля в таблице БД
Создаем обработчик формы
Так как в данном случае обработка формы и отправка email аналогична восстановлению логина, то и код обработчика в большой степени будет повторять ранее рассмотренный вариант. За исключением только тех строк, в которых в функционал обработчика добавляются дополнительные действия, соответствующие пунктам с 2,б,ii по 2,б,iv алгоритма.
Ниже приведен код, в котором добавленные и измененные строки выделены более светлым фоном по отношению к ранее используемым фрагментам обработчика формы восстановления логина.
Отправка email для восстановления пароля
//—-Скрипт отправки почты для восстановления пароля—-
use PHPMailer\PHPMailer\PHPMailer ; //Импорт классов PHPMailer в глобальное пространство имен. Они должны быть в верхней части скрипта, а не внутри функции
include «alert.php» ; //Вывод сообщения об ошибке в диалоговом окне браузера
Введите повторно указанный при регистрации e-mail, на который будет выслано письмо, предназначенное для восстановления пароля.
$rand = mt_rand (); //Формирование случайного целого числа
$code_email = urlencode ($email); //Кодирование сроки, в которой все не цифробуквенные символы, кроме «-«, «_» и «.» заменяются знаком процента «%» с шестнадцатеричными числами
require ‘PHPMailer/src/PHPMailer.php’ ; //Подключение библиотеки PHPMailer
$mail = new PHPMailer (); //Инициализация класса
$from = ‘admin@avtobezugona.ru’ ; //Адрес почты, с которой идет отправка письма
Вы запросили восстановление пароля от учетной записи на сайте \»Авто без угона\».
Если Вы не запрашивали восстановление пароля, и это письмо попало по ошибке, просто не реагируйте на него или удалите.
Письмо отправлено автоматически сервисом рассылки Авто без угона