Medlemslogin med funktionen glömt lösenord

Permalänk

Medlemslogin med funktionen glömt lösenord

Vilket är det bästa bästa sättet att göra ett medlemslogin med funktionen glömt lösenordet? I dag har vi ett enkelt login där de bara behöver fylla i ett lösenord för att få tillträde till den dolda delen. Funktionen som jag saknar är man kan begära nytt lösenord till den mail man har registrerad i klubben. Som jag förstår måste alla medlemmar få ett eget användarnamn även om lösenordet är densamma för att den funktionen ska fungera.
Det handlar om ett hundratal medlemmar och de ska inte kunna skapa en egen användare.

Är MySQL bäst? Finns det färdiga säkra skript? Eller måste man skriva själv?
Hur fungerar .htacess och .htpasswd ?
Finns det någon annat som skulle fungera som jag glömt?

Permalänk
Medlem

Är det flera som använder samma lösenord? Eller har de varsin egen kod?
Ur säkerhetsperspektiv låter det nuvarande tillvägagångsättet ganska uselt (risk för bruteforce etc.)

Hur är MySQL relevant till din fråga? Betyder detta att du inte har någon databas som lösenorden är lagrade på? Hur fungerar i så fall din lösning just nu? Låter lite som att lösenorden lagras i klartext i någon random fil..

Visa signatur

PSU: Seasonic FOCUS Plus 750W Gold | MOBO: ASUS ROG STRIX X570-E | CPU: AMD Ryzen 9 5900X w/ NZXT Kraken x72 | GPU: EVGA GeForce GTX 1070 Ti FTW ULTRA SILENT GAMING | RAM:Corsair Vengeance DDR4 3200MHz CL16 (2X32GB) | SSD(s): 2X NVMe M.2 Samsung 970 EVO PLUS 1TB
AKA:FakeNinja

Permalänk

@FakeNinja: den inlogning som nu finns är Annica tigers kod. Som du förstår är det dax för en förnyelse då det inte innefattar databasar öht. Antar att många känner till Annika Tiger och vet hur den fungerar? Lösenordet finns inte i koden om jag minns rätt. Byter man lösenord så byter man namnet på mappen som medlemmarna får tillgång till.

Men nya saker som man inte har grepp om så är man rädd att skriva fel så att man öppnar upp för hackers,
SQL injections mm

Finns det färdiga inloggningsskript som är säkra eller måste man skriva dem helt själv? Jag tror jag förstått hur jag kan lägga in medlemmarna i MYSQL databas men sedan att skriva en säker kod i själva inloggningen på hemsidan är jag mer osäker på. Hoppas du förstår även om jag inte förklarar något vidare.

Permalänk
Jobbar med data

Menar du att ni använder följande kod?
http://www.atiger.pp.se/dok/slask/test.html
I sådant fall är det hög dit att byta, då man bara behöver gissa sig till mappens namn för att komma in.

Är du/ni bekväma med något programmeringsspråk?
Nedan får du tre exempel på PHP bibliotek, kan inte rekommendera någon specifikt i säkerhetssynpunkt då jag skriver inloggningen själv. Skulle dock välja den första, baserat på enkelheten. Det är en klass som innehåller alla nödvändiga funktioner, sedan behöver man lägga till formulären (logga in, glömt bort lösenord ...) och en controller som använder sig av klassen.

Nu vet jag inte hur era undersidor ser ut (mappar). Men alla filer (i mappen) måste ha en kontroll på om användare har rättigheter att läsa den eller ej.

https://github.com/PHPAuth/PHPAuth
http://www.opauth.org/ (Logga in med hjälp av Facebook etc...)
https://github.com/panique/huge (Är ett mer "komplett" program)

Vill man göra det hela lite tyngre så kan man använda ett helt ramverk.
https://codeigniter.com/ (Ramverket)
https://community-auth.com/ (Inloggning)

Permalänk
Medlem
Skrivet av Articlight:

@FakeNinja: den inlogning som nu finns är Annica tigers kod. Som du förstår är det dax för en förnyelse då det inte innefattar databasar öht. Antar att många känner till Annika Tiger och vet hur den fungerar? Lösenordet finns inte i koden om jag minns rätt. Byter man lösenord så byter man namnet på mappen som medlemmarna får tillgång till.

Men nya saker som man inte har grepp om så är man rädd att skriva fel så att man öppnar upp för hackers,
SQL injections mm

Finns det färdiga inloggningsskript som är säkra eller måste man skriva dem helt själv? Jag tror jag förstått hur jag kan lägga in medlemmarna i MYSQL databas men sedan att skriva en säker kod i själva inloggningen på hemsidan är jag mer osäker på. Hoppas du förstår även om jag inte förklarar något vidare.

Om du är i en sits där du har en hel del innehåll men inte något ramverk/plattform att publicera dem på kan jag rekommendera att du letar upp ett valfritt Content Management System (CMS) som t.ex. Joomla, de har redan ett system för användare och behörigheter och massor av plugin för lagring av innehåll. Inbakade funktioner för två faktors autentisering och lösenordsåterställning. Kräver ingen kodning om man så vill, men man får ju lära sig installera databasen osv

Visa signatur

PSU: Seasonic FOCUS Plus 750W Gold | MOBO: ASUS ROG STRIX X570-E | CPU: AMD Ryzen 9 5900X w/ NZXT Kraken x72 | GPU: EVGA GeForce GTX 1070 Ti FTW ULTRA SILENT GAMING | RAM:Corsair Vengeance DDR4 3200MHz CL16 (2X32GB) | SSD(s): 2X NVMe M.2 Samsung 970 EVO PLUS 1TB
AKA:FakeNinja

Permalänk

@jreklund: jepp det är den koden vi använder. Lite ålderdomlig därför försöker jag hitta något bättre. Jag har gjory hemsidan i php och css så dessa kan jag hyfsat. Ska kolla igenom länkarna närmare då jag sitter vid en dator.

Permalänk
Skrivet av FakeNinja:

Om du är i en sits där du har en hel del innehåll men inte något ramverk/plattform att publicera dem på kan jag rekommendera att du letar upp ett valfritt Content Management System (CMS) som t.ex. Joomla, de har redan ett system för användare och behörigheter och massor av plugin för lagring av innehåll. Inbakade funktioner för två faktors autentisering och lösenordsåterställning. Kräver ingen kodning om man så vill, men man får ju lära sig installera databasen osv

Jag har funderat om WP skulle vara något. Just nu verkar det vara populärt att göra hemsidor i. Jag har filat på en wp sida men hittar inte riktigt rätt plugin för inloggningsdelen. Vill ha lite som det fungerar idag att när du fyllt i lösenordet så får du tillträde till en hemlig sida. Det ser ut som den vanliga sidan fast just den sidan syns ju inte då om du inte är inloggad. Jag vet att nuvarande inlogg är bristfällig dvs när du vet var mappen finns och heter kommer du åt sidan. Därför är det läge att förnya. Men de wp-plugin jag sett för inlog så loggar medlemmar in via wp-admin med då begränsad behörighet och det vill inte jag. Medlemmarna har ett eget login som ger acess till en mapp/dold indexsida som ska vara enkel att administrera då de handlar om ett hundratal medlemmar och koden ska bytas 1 ggn om året. Har du några tips på plugin på wp som kansje skulle passa mig?

Permalänk
Medlem