Güvenli Password Reset Akışı Tasarlama
Merhaba değerli okuyucular! Bugün, web uygulamalarının kritik bir güvenlik bileşeni olan güvenli şifre sıfırlama akışının nasıl tasarlanacağını derinlemesine inceleyeceğiz. Güvenli bir şifre sıfırlama süreci, kullanıcı hesaplarını korurken aynı zamanda kullanıcı deneyimini de göz önünde bulundurmalıdır. Hadi, bu önemli konuyu adım adım ele alalım!
Güvenli Şifre Sıfırlama Akışının Temel Adımları
- Kullanıcı şifre sıfırlama talebinde bulunur
- Sistem, kullanıcının kimliğini doğrular
- Güvenli bir sıfırlama tokeni oluşturulur
- Token kullanıcıya güvenli bir şekilde iletilir
- Kullanıcı tokeni kullanarak yeni şifresini belirler
- Sistem yeni şifreyi doğrular ve kaydeder
1. Şifre Sıfırlama Talebi
Kullanıcının şifre sıfırlama talebinde bulunabileceği güvenli bir form oluşturun:
<form action="/reset-password" method="POST">
<input type="email" name="email" required>
<button type="submit">Şifremi Sıfırla</button>
</form>
2. Kullanıcı Kimliğinin Doğrulanması
Kullanıcının e-posta adresini doğrulayın ve rate limiting uygulayın:
const express = require('express');
const rateLimit = require('express-rate-limit');
const app = express();
const resetLimiter = rateLimit({
windowMs: 15 * 60 * 1000, // 15 dakika
max: 3 // IP başına maksimum 3 istek
});
app.post('/reset-password', resetLimiter, async (req, res) => {
const { email } = req.body;
const user = await User.findOne({ email });
if (!user) {
// Kullanıcı bulunamadı, ancak bunu açıkça belirtmeyin
return res.send('Eğer bu e-posta adresi kayıtlıysa, sıfırlama talimatları gönderilecektir.');
}
// Sıfırlama işlemine devam et...
});
3. Güvenli Sıfırlama Tokeni Oluşturma
Güvenli ve sınırlı süreli bir token oluşturun:
const crypto = require('crypto');
function generateResetToken() {
return new Promise((resolve, reject) => {
crypto.randomBytes(32, (err, buf) => {
if (err) {
reject(err);
} else {
resolve(buf.toString('hex'));
}
});
});
}
async function createResetToken(user) {
const token = await generateResetToken();
const expiresAt = new Date(Date.now() + 3600000); // 1 saat geçerli
user.resetToken = token;
user.resetTokenExpiresAt = expiresAt;
await user.save();
return token;
}
4. Tokeni Kullanıcıya İletme
Tokeni güvenli bir şekilde kullanıcıya e-posta ile gönderin:
const nodemailer = require('nodemailer');
async function sendResetEmail(email, token) {
const transporter = nodemailer.createTransport({
// E-posta sunucusu yapılandırması
});
const resetUrl = `https://yourapp.com/reset-password?token=${token}`;
await transporter.sendMail({
from: 'security@yourapp.com',
to: email,
subject: 'Şifre Sıfırlama Talebi',
html: `
<p>Şifrenizi sıfırlamak için aşağıdaki bağlantıya tıklayın:</p>
<a href="${resetUrl}">Şifremi Sıfırla</a>
<p>Bu bağlantı 1 saat içinde geçerliliğini yitirecektir.</p>
`
});
}
5. Yeni Şifre Belirleme
Kullanıcının yeni şifresini güvenli bir şekilde belirlemesini sağlayın:
<form action="/reset-password" method="POST">
<input type="hidden" name="token" value="<%= token %>">
<input type="password" name="newPassword" required minlength="12">
<input type="password" name="confirmPassword" required minlength="12">
<button type="submit">Şifremi Güncelle</button>
</form>
6. Yeni Şifreyi Doğrulama ve Kaydetme
Yeni şifreyi güvenli bir şekilde doğrulayın ve kaydedin:
const bcrypt = require('bcrypt');
app.post('/reset-password', async (req, res) => {
const { token, newPassword, confirmPassword } = req.body;
if (newPassword !== confirmPassword) {
return res.status(400).send('Şifreler eşleşmiyor.');
}
const user = await User.findOne({
resetToken: token,
resetTokenExpiresAt: { $gt: Date.now() }
});
if (!user) {
return res.status(400).send('Geçersiz veya süresi dolmuş token.');
}
// Şifre karmaşıklığını kontrol et
if (!isPasswordComplex(newPassword)) {
return res.status(400).send('Şifre yeterince güçlü değil.');
}
// Yeni şifreyi hashle ve kaydet
const hashedPassword = await bcrypt.hash(newPassword, 10);
user.password = hashedPassword;
user.resetToken = undefined;
user.resetTokenExpiresAt = undefined;
await user.save();
res.send('Şifreniz başarıyla güncellendi.');
});
function isPasswordComplex(password) {
const minLength = 12;
const hasUpperCase = /[A-Z]/.test(password);
const hasLowerCase = /[a-z]/.test(password);
const hasNumbers = /d/.test(password);
const hasSpecialChar = /[!@#$%^&*(),.?":{}|<>]/.test(password);
return password.length >= minLength && hasUpperCase && hasLowerCase && hasNumbers && hasSpecialChar;
}
Ek Güvenlik Önlemleri
1. Çoklu Faktör Doğrulama (2FA)
Şifre sıfırlama işlemi için 2FA kullanmayı düşünün:
const speakeasy = require('speakeasy');
async function send2FACode(user) {
const secret = user.twoFactorSecret;
const token = speakeasy.totp({
secret: secret,
encoding: 'base32'
});
// Token'ı SMS veya e-posta ile gönder
}
// Şifre sıfırlama işleminde 2FA doğrulaması
app.post('/verify-2fa', async (req, res) => {
const { userId, token } = req.body;
const user = await User.findById(userId);
const verified = speakeasy.totp.verify({
secret: user.twoFactorSecret,
encoding: 'base32',
token: token
});
if (verified) {
// 2FA doğrulandı, şifre sıfırlama işlemine devam et
} else {
res.status(400).send('Geçersiz 2FA kodu.');
}
});
2. IP ve Kullanıcı Ajanı Kontrolü
Şifre sıfırlama isteğinin geldiği IP adresi ve kullanıcı ajanını kontrol edin:
function isRequestSuspicious(req, user) {
const knownIPs = user.knownIPs || [];
const knownUserAgents = user.knownUserAgents || [];
const isKnownIP = knownIPs.includes(req.ip);
const isKnownUserAgent = knownUserAgents.includes(req.headers['user-agent']);
return !isKnownIP || !isKnownUserAgent;
}
app.post('/reset-password', async (req, res) => {
// ... diğer kontroller
if (isRequestSuspicious(req, user)) {
// Ek doğrulama adımları uygula veya şüpheli aktiviteyi logla
}
// ... şifre sıfırlama işlemine devam et
});
3. Aşamalı Bilgi İfşası
Saldırganların bilgi toplamasını zorlaştırmak için aşamalı bilgi ifşası kullanın:
app.post('/reset-password', async (req, res) => {
const { email } = req.body;
// İlk aşama: E-posta varlığını kontrol et
const user = await User.findOne({ email });
if (!user) {
return res.send('Talimatlar e-posta adresinize gönderildi.');
}
// İkinci aşama: Güvenlik sorusu sor
res.send('Lütfen güvenlik sorunuzu cevaplayın.');
});
app.post('/verify-security-question', async (req, res) => {
const { email, answer } = req.body;
const user = await User.findOne({ email });
if (user && user.securityAnswer === answer) {
// Üçüncü aşama: Şifre sıfırlama token'ı gönder
const token = await createResetToken(user);
await sendResetEmail(user.email, token);
}
// Her durumda aynı mesajı göster
res.send('Eğer cevabınız doğruysa, talimatlar e-posta adresinize gönderilecektir.');
});
Güvenli bir şifre sıfırlama akışı tasarlamak, kullanıcı hesaplarının korunması için kritik öneme sahiptir. Bu süreçte, güvenlik ve kullanıcı deneyimi arasında doğru dengeyi kurmak önemlidir. Yukarıda bahsedilen adımları ve ek güvenlik önlemlerini uygulayarak, saldırılara karşı dirençli ve kullanıcı dostu bir şifre sıfırlama mekanizması oluşturabilirsiniz.
Unutmayın ki, güvenlik sürekli bir süreçtir. Düzenli olarak güvenlik pratiklerinizi gözden geçirmeli ve güncel tehditlere karşı hazırlıklı olmalısınız. Ayrıca, kullanıcılarınızı güçlü şifreler kullanma ve hesap güvenliği konusunda eğitmeyi ihmal etmeyin.
Siz şifre sıfırlama süreçlerinizde hangi güvenlik önlemlerini alıyorsunuz? Karşılaştığınız zorluklar veya paylaşmak istediğiniz best practice'ler var mı? Yorumlarınızı bekliyorum!
Güvenli kodlamalar ve güvenli hesap yönetimi dilerim!