在我开始之前,我不使用OAuth 的原因是我认为这不是我们应该在这个项目中使用的东西,我们的目标是一个将被打包并转售给公司的平台,这些公司连接到他们的我们真的不希望拥有不受 %100 控制的帐户的自己的一组用途,我们不希望它与其他服务共享登录,并且我们不希望强迫人们进入获得 google/yahoo/openID/aol/facebook/blogger/wordpress/whatever 帐户。
那么,我想要的是让用户重新设置密码的最佳方式。
我讨厌秘密问题的概念:你上的是哪所学校?好吧,让我们检查一下您的 Facebook 页面。你一年级的老师是什么?随便问问吧。
我讨厌通过电子邮件使用一次性密码:电子邮件是从什么时候开始安全的?你的老板会读它。您每天都向我发送垃圾邮件。它进了你的垃圾箱。它未加密发送。
我也不想使用密码来重置密码。这没有任何意义。
我真的不知道最好的方法,所以我想我会问社区。p>
【问题讨论】:
标签: security passwords reset-password
我认为这需要一个困难的实现,但将新密码作为短信发送到用户的手机可能是一种替代解决方案。手机比个人收件箱安全得多。
然后,要求用户输入他们的手机号码。通过电子邮件向不想要该功能的用户提供新密码。
【讨论】:
所以你实际上希望用户证明他就是他声称的那个人,而不泄露关于他自己的信息(假设你可以通过社交黑客获取任何信息)
有 3 种身份验证方式:您的身份(生物识别)、您拥有的身份(例如加密狗)和您知道的身份(密码、响应...)。 2 或 3 向身份验证比 1 向身份验证更安全。
密码重置/恢复,顾名思义,降低了身份验证过程的安全性,因为它现在不是 A,而是(A 或 B)。 (A=密码,B=恢复密码)
因此,即使您的身份验证过程是单向(密码),您的恢复过程也应该是双向身份验证。
让我们看看您在密码恢复过程中有哪些选择:
请注意,带有图片的公司 ID 标签是一种双向身份验证(您的身份和您拥有的身份)。
我认为最好的程序是让员工亲自前往 IT 部门,出示他的照片 ID,并要求重置密码。
如果这不可行(太远 - 例如远程分支机构),请尝试使用可通过电话识别并可以信任的 deligator,因此员工必须向本地 deligator 出示 ID-tag。
如果你不能使用“Something you are”——你会留下你拥有的东西(电子邮件、电话号码、你自己的电脑)和你知道的东西(个人详细信息......)。你逃不掉的。
【讨论】:
让用户选择一个(或多个)秘密图像。或者让用户上传自己的图片。
这比秘密问题效果更好。密题有两个常见问题:
通过让用户选择秘密图像或更好地上传他们自己的图像。用户在找回密码时更容易回忆它,因为它更容易进行视觉关联。
恢复密码时,用户可以通过多种选择来选择正确的图像。
【讨论】:
您的问题是您需要外包信任。如果用户忘记了他们的密码,您将无法直接信任他们,因此您必须使用外部资源来重新建立关系。
如果您认为电子邮件不安全(实际上确实如此),您可以试试电话。用临时密码给他们打电话。或者传真。或蜗牛邮件,或短信等。
这与重置所经过的电话线/邮政运营商一样安全,并且在大多数地区,电话拦截或篡改邮件会受到法律的严厉惩罚。
如果这样做不好,请考虑向用户发放 OTP 令牌、智能卡或其他东西。
【讨论】:
除非能够亲自审查此人,否则我认为您已经列出了我所见过的所有合理选项。在我看来,通过电子邮件的一次性密码是更好的选择,因为人们往往至少希望将他们的电子邮件保密。我个人讨厌秘密问题——答案公开的可能性太大(参见 Sarah Palin 电子邮件事件)。如果你要做秘密问题,至少让用户自己选择问题。
【讨论】: