Quali sono alcuni buoni modi per verificare l'identità dell'utente per il reset della password?

Gestire essenzialmente questa rivoluzione significa avere una combinazione di fattori che possono essere utilizzati per assicurare che l'utente che richiede il ripristino sia la stessa persona che ha l'autorizzazione per l'account.

Come hai notato nella tua domanda, uno dei problemi tende a venire dove riadattare un sistema di reimpostazione della password a un'applicazione esistente in quanto le informazioni richieste potrebbero non essere state raccolte inizialmente.

I metodi che ho visto includono

• indirizzo e-mail. Lo vedo principalmente sui siti web in cui l'utente si è registrato con tale indirizzo e pertanto viene utilizzato come posizione di ripristino. Se hai questo e nessun'altra informazione, potrebbe essere una soluzione sostenibile.
• messaggi SMS. I telefoni cellulari tendono ad essere unici per una determinata persona nella maggior parte dei casi, quindi ripristinare il telefono (tramite chiamata vocale o SMS) potrebbe essere un'opzione decente.
• Ripristino online con approvazione della direzione. Molto impegnativo da configurare ma ho visto sistemi in cui, se è stata effettuata una richiesta di reimpostazione della password, le e-mail sono state inviate a persone "approvate" (ad esempio, manager) e quelle persone hanno confermato la richiesta (utile nelle grandi aziende per ridurre i costi dell'helpdesk)
• Un'opzione errata (dal punto di vista della sicurezza) che ho visto è la conferma di alcune informazioni personali che la società potrebbe avere sul membro del personale (ad esempio, ID del personale, nome del manager, nome del reparto, ecc.) Ciò potrebbe essere ragionevole con per quanto riguarda gli outsider completi, ma c'è un grosso rischio che gli utenti interni già lo sappiano

In definitiva anche l'opzione di controllo con i gestori è comune e si spera che gli utenti possano capire che non è il personale IT a non fidarsi di loro, ma che lo staff IT deve assicurarsi che qualcun altro non acceda ai propri account senza autorizzazione ..

altri metodi:

• la coppia "domanda segreta" / "risposta segreta" sui siti
• ponendo domande specifiche sull'utilizzo dell'account (es .: quante negoziazioni di azioni effettuate ieri? questa settimana?)
• la necessità di telefonare per richiedere il ripristino della password. Es .: "ciao azienda BlahBlah, ho provato ad accedere al mio account, dicendo che è bloccato e che dovrei telefonarti Sì, posso fornire alcune informazioni Sì, posso dire una frase specifica in modo da poter registrare e confronta la mia voce. "
• la necessità di informare alcuni dati da alcuni token (come OTP). Es .: per utilizzare un sito devi semplicemente usare la tua password, ma per "sbloccarla" devi digitare alcuni dati che sono in token che generano una password monouso, o che è in una carta cartacea che ti hanno inviato , ecc. Nell'uso quotidiano, hai solo bisogno di una password, non hai bisogno di portare il token con te tutto il tempo.

Ho anche visto dove l'help desk chiederà un altro utente autorizzato invece di un semplice manager. Hanno utilizzato domande segrete (al telefono che è sciocco, ma ehi) di un utente autorizzato e poi quell'utente verifica di conoscere l'utente che sta recuperando la password. Funziona alla grande per una grande azienda che si diffonde sottilmente in tutto il mondo o per consulenti che viaggiano.