Восстановление пароля

Не знаю почему сразу не написал пост, не догадался, наверное.

Осенью у отца угнали аккаунт Госуслуг с помощью схемы "замены полиса ОМС". Дальше не интересно, но вот есть быстрый способ выгнать мошенников из госуслуг и восстановить доступ, который я не смог нагуглить, а выяснил только в чате поддержки Сбера, и то там не прозрачно объяснили.


Приложение Госуслуг не работало на телефоне из-за рут-доступа, двухфакторную аутентификацию мошенники поменяли на своё устройство/номер телефона.

Мне было невозможно восстановить доступ к госуслугам стандартными методами, для восстановления требуется "одноразовый код ТОРТ", который скорее всего уже приходил в приложение к мошенникам.

Схема по восстановлению доступа к аккаунту Госуслуг при наличии аккаунта в Сбере:

1) Номер телефона должен быть разный на госуслугах и в банке.
1.2) Если нужно, то меняем номер в Сбере прям сейчас на любой, который под рукой
2) В приложении сбера есть где-то пункты "регистрация на госуслугах" и "восстановление пароля от госуслуг". Выбираем регистрацию. (Восстановление перекидывает на сайт Госуслуг к стандартным методам восстановления доступа)
3) Ждём, пока паспортные данные найдутся в базе госуслуг и сверятся с базой в Сбере.
4) Сбер спрашивает, какой из номеров наш и какой из номеров привязать к Госуслугам? Выбираем другой/новый номер из Сбера.
5) Получаем доступ к Госуслугам.

Выбираем Регистрация на Госуслугах

Вот тут точно не помню, зарегистрироваться или подтвердить. Как будто дизайн был другой и тут выбора не стояло. В любом случае, можно попробовать и Зарегистрироваться и Подтвердить. Какая-то из кнопок поможет.

Надеюсь, что данный способ до сих пор работает и кому-то поможет

1. Файл register.php

Этот файл используется для регистрации новых пользователей.

HTML-разметка

HTML-часть содержит форму для регистрации, куда пользователи вводят свой Email и Пароль.

<!DOCTYPE html>

<html lang="ru">

<head>

<meta charset="UTF-8">

<meta name="viewport" content="width=device-width, initial-scale=1.0">

<title>Регистрация</title>

</head>

<body>

<h2>Регистрация</h2>

<form action="register.php" method="POST">

<label for="email">Email:</label>

<input type="email" name="email" required><br>

<label for="password">Пароль:</label>

<input type="password" name="password" required><br>

<button type="submit">Зарегистрироваться</button>

</form>

<p><a href="reset_password.php">Восстановить пароль</a></p>

</body>

</html>

PHP-скрипт

PHP-часть обрабатывает данные формы и регистрирует пользователя.

<?php

$host = 'localhost';

$dbname = 'my_database';

$username_db = 'root';

$password_db = 'root';

try {

$pdo = new PDO("mysql:host=$host;dbname=$dbname;charset=utf8mb4", $username_db, $password_db);

$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

} catch (PDOException $e) {

die("Ошибка подключения к базе данных: " . $e->getMessage());

}

if ($_SERVER['REQUEST_METHOD'] === 'POST') {

$email = $_POST['email'];

$password = password_hash($_POST['password'], PASSWORD_BCRYPT);

$stmt = $pdo->prepare("SELECT * FROM users WHERE email = ?");

$stmt->execute([$email]);

if ($stmt->rowCount() > 0) {

echo "Пользователь с таким email уже зарегистрирован!";

} else {

$stmt = $pdo->prepare("INSERT INTO users (email, password) VALUES (?, ?)");

$stmt->execute([$email, $password]);

echo "Регистрация прошла успешно!";

}

}

?>

• Подключение к базе данных: Здесь используется PDO для безопасного подключения.

• Хэширование пароля: password_hash() шифрует пароль для безопасного хранения.

• Проверка и регистрация: Если email уже существует, выводится сообщение об ошибке; если нет, пользователь успешно добавляется в базу.

2. Файл reset_password.php

Этот файл предоставляет форму для восстановления пароля.

HTML-разметка

Пользователь вводит свой email для получения письма со ссылкой на сброс пароля.

<!DOCTYPE html>

<html lang="ru">

<head>

<meta charset="UTF-8">

<meta name="viewport" content="width=device-width, initial-scale=1.0">

<title>Восстановление пароля</title>

</head>

<body>

<h2>Восстановление пароля</h2>

<form action="" method="POST">

<label for="email">Email:</label>

<input type="email" name="email" required><br>

<button type="submit">Восстановить пароль</button>

</form>

</body>

</html>

PHP-скрипт

Код отправляет email с уникальной ссылкой для сброса пароля.use PHPMailer\PHPMailer\PHPMailer;

use PHPMailer\PHPMailer\Exception;

require 'vendor/autoload.php';

ini_set('display_errors', 1);

error_reporting(E_ALL);

$host = 'localhost';

$dbname = 'my_database';

$username_db = 'root';

$password_db = 'root';

try {

$pdo = new PDO("mysql:host=$host;dbname=$dbname", $username_db, $password_db);

$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

} catch (PDOException $e) {

die("Ошибка подключения к базе данных: " . $e->getMessage());

}

if ($_SERVER['REQUEST_METHOD'] === 'POST') {

$email = $_POST['email'];

$stmt = $pdo->prepare("SELECT * FROM users WHERE email = ?");

$stmt->execute([$email]);

if ($stmt->rowCount() > 0) {

$token = bin2hex(random_bytes(50));

$stmt = $pdo->prepare("UPDATE users SET reset_token = ? WHERE email = ?");

$stmt->execute([$token, $email]);

$mail = new PHPMailer(true);

try {

$mail->isSMTP();

$mail->Host = 'smtp.mail.ru';

$mail->SMTPAuth = true;

$mail->Username = 'ваш_email@mail.ru';

$mail->Password = 'ваш_пароль';

$mail->SMTPSecure = 'tls';

$mail->Port = 587;

$mail->setFrom('ваш_email@mail.ru', 'Ваш сайт');

$mail->addAddress($email);

$mail->isHTML(true);

$mail->Subject = 'Восстановление пароля';

$mail->Body = "Нажмите на ссылку для сброса пароля: <a href='http://localhost/reset.php?token=$token'>Сбросить пароль</a>";

$mail->send();

echo "Инструкции по восстановлению пароля отправлены на вашу почту!";

} catch (Exception $e) {

echo "Ошибка отправки письма: {$mail->ErrorInfo}";

}

} else {

echo "Пользователь с таким email не найден!";

}

}

?>

• Подключение PHPMailer: PHPMailer настроен для отправки писем по SMTP.

• Генерация токена: Для безопасности создается случайный токен, который добавляется в базу данных.

• Отправка письма: Ссылка с токеном направляется пользователю на email, позволяя ему перейти к сбросу пароля.

Примечание: Для использования PHPMailer необходимо установить его через Composer:

composer require phpmailer/phpmailer

3. Файл reset.php

Этот файл позволяет пользователю задать новый пароль, используя токен сброса.

HTML-разметка

Форма для ввода нового пароля, с токеном, переданным в скрытом поле.

<!DOCTYPE html>

<html lang="ru">

<head>

<meta charset="UTF-8">

<meta name="viewport" content="width=device-width, initial-scale=1.0">

<title>Сброс пароля</title>

</head>

<body>

<h2>Сброс пароля</h2>

<form action="reset.php" method="POST">

<input type="hidden" name="token" value="<?php echo $_GET['token']; ?>" />

<label for="password">Новый пароль:</label>

<input type="password" name="password" required><br>

<button type="submit">Сбросить пароль</button>

</form>

</body>

</html>

PHP-скрипт

PHP-скрипт проверяет токен и устанавливает новый пароль.

$host = 'localhost';

$dbname = 'my_database';

$username_db = 'root';

$password_db = 'root';

try {

$pdo = new PDO("mysql:host=$host;dbname=$dbname;charset=utf8mb4", $username_db, $password_db);

$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

} catch (PDOException $e) {

die("Ошибка подключения к базе данных: " . $e->getMessage());

}

if ($_SERVER['REQUEST_METHOD'] === 'POST') {

$token = $_POST['token'];

$new_password = password_hash($_POST['password'], PASSWORD_BCRYPT);

$stmt = $pdo->prepare("SELECT * FROM users WHERE reset_token = ?");

$stmt->execute([$token]);

if ($stmt->rowCount() > 0) {

$stmt = $pdo->prepare("UPDATE users SET password = ?, reset_token = NULL WHERE reset_token = ?");

$stmt->execute([$new_password, $token]);

echo "Пароль успешно сброшен!";

} else {

echo "Неверный или устаревший токен!";

}

}

1. Проверка токена: Если токен действителен, то пароль обновляется и токен сбрасывается.

2. Хэширование нового пароля: Новый пароль хэшируется перед сохранением в базу.

Эти три файла позволяют создать безопасную систему регистрации, восстановления и сброса пароля для пользователей.

Как создать систему регистрации и восстановления пароля на PHP: Пошаговое руководство

Создание системы регистрации и восстановления паролей – важный элемент безопасности любого веб-приложения, где пользователи создают учетные записи. В этой статье рассмотрим, как с помощью PHP, PDO и библиотеки PHPMailer реализовать систему, позволяющую пользователям регистрироваться, восстанавливать доступ и сбрасывать пароли.

Как это работает

Наша система регистрации и восстановления пароля состоит из трёх частей:

1. Форма регистрации – страница, где пользователи могут зарегистрироваться, введя email и пароль.

2. Форма восстановления пароля – страница, куда пользователь вводит email для получения инструкции по восстановлению.

3. Форма сброса пароля – страница, где пользователь может создать новый пароль, перейдя по ссылке с уникальным токеном из письма.

Как реализовать регистрацию и хэширование паролей

Мы используем PHP-функцию password_hash() для безопасного хранения паролей в базе данных. Это важно для защиты данных пользователей на случай взлома базы. К тому же, проверка дубликатов email позволяет избежать повторной регистрации.

Реализация восстановления пароля

С помощью PHPMailer система отправляет email с уникальной ссылкой для сброса пароля. Это исключает возможность использования одного и того же токена, так как он создается случайным образом с помощью функции random_bytes() и сохраняется в базе данных.

Установка PHPMailer

Для работы PHPMailer используйте Composer:

composer require phpmailer/phpmailer

Примечания по безопасности

1. Хранение паролей: Никогда не храните пароли в открытом виде. Используйте password_hash() для хэширования и password_verify() для проверки пароля при входе.

2. Безопасное подключение к базе данных: Используйте PDO с параметризированными запросами, чтобы защитить приложение от SQL-инъекций.

3. Срок действия токена: Рекомендуется добавить срок действия токена для сброса пароля, чтобы повысить безопасность системы.

Эта пошаговая реализация легко адаптируется под любые требования и поможет создать удобную и безопасную систему работы с учетными записями.