Požadavek #988
otevřený
Jednorázové heslo
100%
Popis
Při evidenci člena je nutné, aby bylo zadáno jeho budoucí systémové heslo, což není úplně jednoduchý krok z uživatelského pohledu. Člen nebo ten kdo jej eviduje musí vymyslet heslo a zdělit ho druhé osobě, což není bezpečné ani rychlé.
Cílem tohoto požadavku je zavést jednorázové hesla, které mají platnost do prvního přihlášení do FreenetISu. Po tomto přihlášení musí uživatel zadat nové heslo. Důležité na tom je, že úkon provádí sám a není zde nutná interakce dalšího člověka.
Ve FreenetISu by se to dotklo pouze formuláře pro přidání nového člena, který u polí s heslem bude obsahovat volbu pro vygenerování jednorázového hesla. Heslo následně technik může např. připsat na přihlášku nebo zaslat e-mailem (tady by šla udělat upozorňovací zpráva na vznik členství, která by to mohla obsahovat, ale to není předmětem tohoto požadavku).
Implementace¶
- do tabulky
usersse přidá sloupecpassword_is_onetime TINYINT(1) DEFAULT 0 - ve formuláři pro přidání člena/uživatele bude umožněno namísto zadání hesla zaškrtnou možnost "generovat jednorázové heslo", heslo se zobrazí v informačním boxu po odeslání formuláře
- přibude odkaz na vygenerování jednorázového hesla v profilu uživatele, po stisknutí se zobrazí potvrzení zda tak chce učinit a pak se opět zobrazí vygenerované heslo v informačním boxu na profilu uživatele
- vygenerované heslo je krátké max 6 znaků a je alfanumerické
- po přihlášení s jednorázovým heslem je uživatel vyzván ke změně hesla, bez které není přihlášení dokončeno
Aktualizováno uživatelem Ondřej Fibich před téměř 9 roky(ů)
- Popis aktualizován (rozdíl)
- Přiřazeno nastaven na David Raška
Aktualizováno uživatelem David Raška před více než 8 roky(ů)
- Stav změněn z Nový na Odeslaný
- % Hotovo změněn z 0 na 100
Aktualizováno uživatelem Ondřej Fibich před více než 8 roky(ů)
- Přihlásím se a pokud nemám one-time heslo tak pokračuji dál.
- Jinak se nezapíše $_SESSION a je zobrazen formulář pro změnu hesla (jsem tam přesměrován). To že mám povoleno změnit one-time heslo udělám jinou SESSION proměnnou, která ukládá login a čas příhlášení s one-time heslem.
- Odešlu formulář se změnou a jsem přesměrován znovu na přihlášení. Pokud je čas přihlášení v SESSION delší než hodina tak přesměruji s chybou a nic nezměním.
Odkaz: "Generovat jednorázové heslo" bych nedával do profilů, ale do dialogu pro změnu hesla. Je tam podle mně zbytečný a místa tam není zrovna dost.
Nedával bych ten odkaz pro generování pokud bych si vygeneroval heslo sám, je to vlastně nesmysl, jelikož si stejně musím obratem vybrat nové heslo..
Pohraj si s checkboxem ve formuláři pro přidání členů. Jednou se mi pole s hesly to skryjí, jindy to tam zůstane...
Chybí překlad/něco je špatně (dej pozor na '.', Kohana to rozseká na více řetězců):
Password has been successfully changed. Uživatelovo vygenerované heslo je: jAdN26
Aktualizováno uživatelem David Raška před více než 8 roky(ů)
Nedával bych ten odkaz pro generování pokud bych si vygeneroval heslo sám, je to vlastně nesmysl, jelikož si stejně musím obratem vybrat nové heslo..
No jo, ale co když si to heslo člověk zapomene opsat/zkopírovat před změnou na nové. To by ho už nebyl schopný změnit, pokud by nekontaktoval administrátora. A nebo tom možná špatně rozumím a mám to chápat, že si člověk sám sobě nemá možnost mět generovat jednorázové heslo vůbec?
Aktualizováno uživatelem Ondřej Fibich před více než 8 roky(ů)
David Raška napsal:
Nedával bych ten odkaz pro generování pokud bych si vygeneroval heslo sám, je to vlastně nesmysl, jelikož si stejně musím obratem vybrat nové heslo..
No jo, ale co když si to heslo člověk zapomene opsat/zkopírovat před změnou na nové. To by ho už nebyl schopný změnit, pokud by nekontaktoval administrátora. A nebo tom možná špatně rozumím a mám to chápat, že si člověk sám sobě nemá možnost mět generovat jednorázové heslo vůbec?
Jo já tam nevidím ten případ užití. Jedině, že by mně zrovna nenapadalo jaké heslo použít, ale to bych nepodporoval. One-time heslo bylo myšleno jako ulehčení interakce admin/technik -> člen (jak jsem psal, je to řešení pro typické: 1. "Jaké chcete heslo?" 2. "Já nevím.. (pomlka půl minuty)" 3. "To neobsahuje číslo" 4. "Aha.. (pomlka půl minuty)" atd.
Aktualizováno uživatelem Ondřej Fibich před více než 8 roky(ů)
Když kliknu na checkbox 2x, tak už nemůžu psát do polí..
Aktualizováno uživatelem Michal Kliment před více než 4 roky(ů)
- Stav změněn z Odeslaný na Ve vývoji
- Přiřazeno změněn z David Raška na Filip Miškařík
Aktualizováno uživatelem Ondřej Fibich před více než 4 roky(ů)
Co si tak pamatuji, tak merge request bylo potřeba pouze doladit a pořádně otestovat. Jinak by mělo být naimplementováno.
Aktualizováno uživatelem Filip Miškařík před více než 4 roky(ů)
Merge request jsem otestoval a jestli jsem správně pochopil funkcionalitu tohoto požadavku, tak vše funguje jak má.
Aktualizováno uživatelem Filip Miškařík před více než 4 roky(ů)
- Stav změněn z Ve vývoji na Odeslaný