让PasswordRecovery控件使用Email地址找回密码

我曾介绍过以Email地址登录基于Membership管理的网站的方法，并指出这是一种更为安全的做法，用户的Email通常不会暴露在网站中，而不知道Email也就无从破解实现登录。

但是在密码找回时，Asp.net提供的PasswordRecovery控件还是要求用户输入用户名以重置密码的，这无疑会使使用了Email地址登录方案的网站的安全系数降低。

并且无论网站是否使用Email地址登录，只要是禁用了安全提问，那么直接在找回密码的地方输入用户名，系统就会自动将用户密码重设为一个新的随机密码，并将其发到注册邮箱，这样极可能被别有用心的人利用，也就是说别人可以轻而易举地随时重置你的密码，让你无法正常登录，必须去自己邮箱里捡回新的密码，这显然是不对的。

那么如何使PasswordRecovery控件支持Email地址索回密码呢？其实非常简单：

首先设置PasswordRecovery控件的一些显示属性，使提示信息引导用户输入Email地址，而非用户名：

接着只要实现其VerifyingUser事件处理函数，进行如下处理即可：

protected void PasswordRecovery1_VerifyingUser(object sender, LoginCancelEventArgs e)

{

    PasswordRecovery1.UserName = Membership.GetUserNameByEmail(PasswordRecovery1.UserName);
    if (PasswordRecovery1.UserName == null || PasswordRecovery1.UserName.Length==0)
   {
       PasswordRecovery1.UserNameInstructionText = "邮箱地址输入有误，或此邮箱地址未经注册。";
       e.Cancel = true;
   }

}

这样只有用户输入了正确的邮件地址，才能进行密码重置，并收取到新密码。

当然为了使控件进行密码重置，你的Web.config得配置好相应的membership节点，并且为了正常发送邮件，也需要配置好其中的mailSettings节点，这就不在本文讨论范围了，如需了解，可参考此书内容：http://book.csdn.net/bookfiles/488/10048816972.shtml

这样做虽然站内的一般用户不会知道别人的Email地址，无法实现恶意重置，但是熟人或者对某用户有一定了解的人还是知道该用户的常用Email地址的（比如可以从某人的博客获得其Email地址），那么这种情况如何避免呢？

我建议应在找回密码的邮件中，向用户提出警示，并在其中显示提交者的IP地址，让其自己来处理：

注意：如果您并未申请密码找回，而意外收到此函，则表示您的帐户安全可能受到威胁。
因为申请密码找回时需要提供您的注册邮箱地址，而在本站内是不会公开您的注册邮箱地址的，所以极有可能是某个知道您邮箱地址的熟人所为。
我们记录的提交此申请的用户IP地址为127.0.0.1，您可以此展开调查。
并且，强烈建议您以上述信息登录后，立即改变您的注册邮箱。