Nome utente / Email dimenticati - Le credenziali extra sono uguali per poter accedere all'utente?

5

Sto lavorando con un altro utente di UX e mi ha fatto sapere che ci sono stati alcuni studi sul fatto che quando una persona passa attraverso un processo di "username / email dimenticati", inserisce informazioni extra e che questa informazione extra dovrebbe essere sufficiente per l'accesso di un utente senza dover inserire una password.

Nel nostro caso, l'utente ha due opzioni: immettere il numero di telefono, il cognome e il DOB, quindi ricevere un messaggio di testo (o chiamata) per confermare; O possono inserire il numero di previdenza sociale, il cognome e il DOB.

Quindi il passo successivo è rispondere alla domanda di sicurezza (1/3 domande). Se rispondono correttamente a questa domanda, passano allo stato di accesso nel proprio account. Nessuna password necessaria.

Questa pratica comune è in questi giorni? Questo è ancora rilevante per una società finanziaria? Un utente può continuare a farlo come un'altra opzione per accedere?

Ho la sensazione che tutte le informazioni necessarie per l'accesso possano essere trovate nell'e-mail dell'utente. Supponiamo che il loro indirizzo email sia stato violato ... Richiediamo le stesse informazioni anche per la password dimenticata, anche se la password è qualcosa che gli utenti intrinsecamente rendono segreto. Tutto il resto può essere trovato pubblicamente, a meno che non rispondano correttamente alle domande di sicurezza (come faccio io)

EDIT: Il mio suggerimento: Credo che per recuperare informazioni, una persona dovrebbe avere qualcosa che solo loro sanno (non scritto su carta OVUNQUE), informazioni sulla sicurezza (supponendo che lo abbiano usato per iscriversi [SSN, DOB]) e un'informazione fisica (in questo caso, un numero di carta di debito / credito che possiedono fisicamente). Questo sembra il modo più sicuro per entrare in un account. pensieri?

    
posta ntgCleaner 07.04.2015 - 16:52
fonte

1 risposta

3

No, non eseguire la reimpostazione della password in base a qualsiasi elemento inviato in un modulo. È necessario determinare l'identità degli utenti attraverso un metodo oltre al proprio sito web. Tramite l'autenticazione a due fattori (di solito il telefono) o tramite un indirizzo email conosciuto. Il pericolo qui è la forzatura bruta, l'indovinare o il furto dei dati necessari per la reimpostazione della password. Sì, è spesso possibile aquistare maliziosamente il numero di telefono, dob e ssn di un utente. Rubare il telefono o compromettere la posta elettronica è spesso molto, molto più difficile. Inoltre, sii molto attento a conservare o chiedere agli utenti ssn - questo può essere insidioso, specialmente se un attaccante gestisce un uomo nel mezzo o in un attacco di iniezione sql.

Attacca con Autenticazione e-mail o Autentica a due fattori per reimpostare la password.

    
risposta data 07.04.2015 - 18:17
fonte

Leggi altre domande sui tag