Password reset — foydalanuvchi amaldagi parolini bilmaganida, boshqa tasdiqlangan kanal orqali hisobga kirish huquqini qayta tiklab, yangi parol belgilash jarayoni. U autentifikatsiyaning chetlab o‘tuvchi yordamchi yo‘li bo‘lgani uchun loginning o‘zi bilan teng yoki undan yuqori xavfsizlik talab qiladi. Zaif reset jarayoni kuchli parol va MFA’ni ma’nosiz qilishi mumkin.
So‘rov bosqichi
Foydalanuvchi email yoki boshqa identifikatorni kiritadi. Server hisob mavjud yoki mavjud emasligidan qat’i nazar, bir xil mazmundagi javob qaytaradi: masalan, “mos hisob bo‘lsa, xabar yuborildi”. Javob vaqti ham imkon qadar yaqin bo‘lishi account enumerationni kamaytiradi. IP, hisob va manzil bo‘yicha rate limit email flood hamda tokenlarni ko‘p yaratishni cheklaydi.
Server kriptografik xavfsiz tasodifiy reset token yaratadi. Token foydalanuvchi, aynan password reset maqsadi, expiry va bir martalik holat bilan bog‘lanadi. Bazada ochiq token emas, uning xeshi saqlanishi mumkin. Token uzun va taxmin qilib bo‘lmaydigan bo‘lsa ham, odatda 15–60 daqiqa kabi qisqa muddat amal qiladi.
Reset havolasi
Xatdagi URL hosti ishonchli server konfiguratsiyasidan olinadi, foydalanuvchi boshqaradigan Host yoki forwarding sarlavhasidan emas. Aks holda hujumchi haqiqiy tokenni o‘z domeniga yuboradigan havola yasashi mumkin. Havola HTTPS ishlatadi, reset sahifasi tashqi analitika va resurslarni cheklaydi, Referrer-Policy orqali tokenning boshqa saytga uzatilishini kamaytiradi.
https://example.uz/reset-password?token=...
Token tekshirilgach, server uni qisqa yashovchi reset sessiyasiga almashtirishi va manzil satridan olib tashlashi mumkin. GET so‘rovi parolni o‘zgartirmaydi; yangi parol POST orqali yuboriladi. Token muvaffaqiyatli ishlatilgach yoki yangisi so‘ralgach, oldingi tokenlar siyosatga ko‘ra bekor qilinadi.
Yangi parolni saqlash
Yangi parol Argon2id, scrypt yoki bcrypt kabi parol uchun mo‘ljallangan algoritm bilan alohida salt asosida xeshlanadi. Parol uzunligi va buzilgan parollar ro‘yxati tekshirilishi mumkin; majburiy murakkab belgilar qoidasi foydalanuvchini oldindan taxmin qilinadigan almashtirishlarga undamasligi kerak. Server parolni email bilan yubormaydi va avvalgi parolni ochib ko‘rsatmaydi.
Reset tugagach, faol sessiyalar va refresh tokenlarni bekor qilish account takeover ta’sirini to‘xtatadi. Ba’zi tizimlar foydalanuvchiga boshqa qurilmalardan chiqish tanlovini beradi, yuqori riskda esa barchasini majburiy tugatadi. Password reset MFA faktorlarini avtomatik o‘chirib yubormaydi; ularni tiklash alohida kuchli tekshiruv talab qiladi.
Ogohlantirish va audit
Parol o‘zgargani haqida foydalanuvchining tasdiqlangan aloqa kanaliga ogohlantirish yuboriladi. Xabarda resetni bekor qiladigan parolga o‘xshash sir emas, ruxsatsiz hodisa haqida xavfsiz murojaat yo‘li bo‘ladi. Yordam xizmati foydalanuvchidan parol yoki reset tokenni so‘ramaydi.
Audit yozuvi so‘rov vaqti, natija, sessiyalar bekor qilingani va risk signallarini saqlaydi, ammo token yoki yangi parolni yozmaydi. Bir xil qurilmadan ko‘plab hisoblar uchun so‘rov, resetdan keyingi geografik keskin o‘zgarish yoki darhol email almashtirish qo‘shimcha tekshiruvga sabab bo‘lishi mumkin.
Support orqali tiklash
Emailga kira olmaydigan foydalanuvchini support xodimi tiklashi eng murakkab yo‘llardan biridir. Ochiq manbadan topiladigan tug‘ilgan sana yoki telefon kabi savollar kuchli dalil emas. Jarayon oldindan belgilangan bir nechta signal, kechiktirish va ikkinchi xodim tasdig‘ini talab qilishi mumkin. Support mavjud MFA’ni shunchaki o‘chirsa, hujumchi texnik nazoratni ijtimoiy muhandislik orqali chetlab o‘tadi. Har manual qaror audit va foydalanuvchi ogohlantirishiga tushadi.
Bog‘liq tushunchalar
Reset token, Password hash, Account recovery, Email verification, Session revocation, Rate limiting, Account enumeration