简单的认证方案答案

【问题标题】：simple authentication scheme简单的认证方案
【发布时间】：2010-02-24 05:24:53
【问题描述】：

我有一个拥有大约 300 名成员的专业人士在线注册表。这些人很聪明，但不是技术人员。目前，如果有人忘记了他们的电子邮件地址，系统会将其重新发送到他们注册的电子邮件地址。

问题是人们随着时间的推移更改了他们的电子邮件地址，然后忘记了他们的密码，并且无法收到提醒。

我需要想出一个简单的身份验证系统，让人们即使更改了电子邮件地址也能恢复他们的密码。

我正在努力想出任何不需要用户电子邮件地址的中等安全性的东西。

谁能给点建议？

【问题讨论】：

【解决方案1】：

保留他们的手机号码以发送短信 - 这些号码可能会不那么频繁地更改，或者至少不会与电子邮件地址同步。

如果用户群只有 300 人，也可以考虑通过人工支持来处理这种情况；但是，如果您这样做，请不要忘记在您的手动验证方法中要勤奋。 :)

【讨论】：

+1 表示手动选项。这对于 300 个用户来说有多普遍？
客户说他不介意手动处理，所以这是一个不错的选择。但我也喜欢手机的想法。我怀疑对于这群用户来说，手机会比电子邮件地址更普遍，而且可能更稳定，正如你所建议的那样。谢谢。

【解决方案2】：

最常见的做法是引入带有注册答案的附加问题，这将允许用户重置他们的电子邮件地址和密码。（虽然一次只有一个，第二个只有在第一个验证之后）。

例如

你在哪个城市长大？你在哪里上的大学。

通常你会有一堆问题，让用户选择 3 个问题，然后你注册他们的答案。关键是不要向每个人问同样的 3 个问题。

【讨论】：