Ξέχασα το password! Τι γίνεται όμως πίσω από τις σκηνές?
Ως παράδειγμα αναφέρω το site της www.bwin.com

Κατά τη διάρκεια της εγγραφής https://home.bwin.com/gr/registration.aspx δύο από τα πολλά πεδία που ζητούνται, όνομα, επώνυμο κλπ είναι
η προσωπική ερώτηση και η προσωπική απάντηση.

Ο χρήστης επιλέγει την προσωπική του ερώτηση και δίνει την αντίστοιχη απάντηση.

Κατά τη διάρκεια του password recover ζητείται από τη σελίδα, πρωτίστως το UserID, ακολούθως η απάντηση στην προσωπική ερώτηση.

Η δική μου ερώτηση?
Η απάντηση στην προσωπική ερώτηση είναι αποθηκευμένη ως plain text ή hashed?

Τι θα γίνει στην περίπτωση που ο χρήστης ξεχάσει ΚΑΙ την απάντηση στην προσωπική του ερώτηση ή
και να τη θυμάται "περίπου" θα κολλήσει στο "Παρακαλούμε προσέξτε ότι το σύστημά διαχωρίζει ανάμεσα σε μικρά και κεφαλαία".

Δεν θα ήταν πιο εύκολο να επικοινωνίσει με email και να πεί απευθείας "η απάντηση στην προσωπική ερώτηση είναι περίπου έτσι..."
Από άποψη ασφαλείας σίγουρα ΟΧΙ.

Παρακαλώ στην απάντηση σας, θεωρήστε δεδομένο ότι ΔΕΝ γνωρίζουμε κανένα άλλο στοιχείο για τον χρήστη εκτός του UserID & του email.

Καλή σας ημέρα & ευχαριστώ εκ των προτέρων

Μμμ, αρχίζω να προβληματίζομαι γιατί έχω την εντύπωση ότι δεν καταλαβαίνω ακριβώς τις ερωτήσεις (ίσως θα έπρεπε να περνάω από εδώ μετά τον 2ο καφέ, αλλά ...)

Υποθέτω ότι το ερώτημα είναι αν η απάντηση στην προσωπική ερώτηση σε ένα authentication σύστημα θα έπρεπε να είναι hashed ή όχι (και όχι τι κάνει το bwin). Αυτό, όπως και πολλά άλλα πράγματα που σχετίζονται με το user management μιας εφαρμογής είναι αποφάσεις που πρέπει να ληφθούν κατά περίπτωση από αυτούς που κάνουν την ανάλυση ενός συστήματος, λαμβάνοντας υπόψη συνιστώσες όπως το απαιτούμενο επίπεδο ασφάλειας, το πλήθος των χρηστών, το αν υπάρχει κάποιος-οι που θα ασχολούνται με το account supervision, πόσο critical είναι το πιθανό identity theft, κλπ.

Πάντως, αν η ακεραιότητα ενός λογαριασμού είναι τόσο σημαντική που να απαιτεί hashed personal question, η δική μου λογική λέει ότι μάλλον δεν θα έπρεπε να έχει καν personal question και η διαδικασία ανάκτισης λογαριασμού/authentication να είναι διαφορετική (π.χ. επικοινωνία με τον administrator, αποστολή σκαναρισμένου δελτίου ταυτότητας, κλπ).

---

The people of the straight land have really got it made, a warm friendly sleep from the craddle to the grave

Οι απαντήσεις που ψάχνεις έχουν να κάνουν περισσότερο με το τί θέλεις εσύ να κάνεις παρά το τί είναι καλύτερο. Κάποια sites έχουν προσωπική ερώτηση, άλλα έχουν reset password, άλλα σου στέλνουν το παλιό password στο email που όρισες και πολλά έχουν συνδυασμό των παραπάνω. Αν χρησιμοποιείς τον Membership provider του ASP.NET μπορείς να χρησιμοποιήσεις όλους τους παραπάνω συνδυασμούς μέσω του configuration του. Για περισσότερες λεπτομέρειες δες το Configuring an ASP.NET application to use membership και τον SqlMembershipProvider ο οποίος χρησιμοποιείται για την αποθήκευση όλων των πληφοροφιών σε SQL Server. Αν θέλεις να αλλάξεις τον τρόπο με τον οποίο δουλεύει π.χ. ο SqlMembershipProvider μπορείς εύκολα να φτιάξεις τη δική σου κλάση η οποία θα κάνει override κάποιες μεθόδους για να πετύχει αυτό που θες. Υπάρχει παράδειγμα και γι αυτό στο Implementing a Membership Provider

---

Παναγιώτης Καναβός, Freelancer
Twitter: http://www.twitter.com/pkanavos

Oldgeorge:

Πάντως, αν η ακεραιότητα ενός λογαριασμού είναι τόσο σημαντική που να απαιτεί hashed personal question, η δική μου λογική λέει ότι μάλλον δεν θα έπρεπε να έχει καν personal question και η διαδικασία ανάκτισης λογαριασμού/authentication να είναι διαφορετική (π.χ. επικοινωνία με τον administrator, αποστολή σκαναρισμένου δελτίου ταυτότητας, κλπ).

Μήπως το μεσαίο όνομα σου είναι Sarah Palin?
Πλάκα-πλάκα, το Secret Question το βρίσκεις συνήθως σε παλιότερα sites. Τα περισσότερα sites έχουν είτε Recover Password είτε το ακόμα πιο αυστηρό Reset password και επικοινωνία με τον admin. Είναι εύκολο πλέον να βρεις τις απαντήσεις στις "προσωπικές" ερωτήσεις απλά ... ψάχνοντας στο Facebook.
Ο συνδυασμός Secret Question για το Reset θα σε γλυτώσει μεν από bots αλλά αυτό το γλυτώνεις και με ένα CAPTCHA. Αυτό που πραγματικά θα εμποδίσει είναι κάποιος άνθρωπος να σου σπάσει τα νεύρα κάνοντας σου συνέχεια reset το password.

---

Παναγιώτης Καναβός, Freelancer
Twitter: http://www.twitter.com/pkanavos

Ίσως δεν κατάλαβα το πρόβλημα σου αλλά η απάντηση μου φαίνεται απλή. Αν κατάλαβα τι ρωτάς, το πρόβλημα σου είναι πως αποθηκεύει ο διαχειρηστής της εφαρμογής τον μυστικό κώδικα ενός χρήστη. Αυτό εξαρτάται από τις απαιτήσεις του πελάτη. Έχω δουλέψει και με τους δύο τρόπους, καταχώρηση του κειμένου με "κανονικού" χαρακτήρες ή σε μορφή Hash, αλλά δεν ξέρω ποια είναι η καλύτερη...