Sto lavorando con un altro utente di UX e mi ha fatto sapere che ci sono stati alcuni studi sul fatto che quando una persona passa attraverso un processo di "username / email dimenticati", inserisce informazioni extra e che questa informazione extra dovrebbe essere sufficiente per l'accesso di un utente senza dover inserire una password.
Nel nostro caso, l'utente ha due opzioni: immettere il numero di telefono, il cognome e il DOB, quindi ricevere un messaggio di testo (o chiamata) per confermare; O possono inserire il numero di previdenza sociale, il cognome e il DOB.
Quindi il passo successivo è rispondere alla domanda di sicurezza (1/3 domande). Se rispondono correttamente a questa domanda, passano allo stato di accesso nel proprio account. Nessuna password necessaria.
Questa pratica comune è in questi giorni? Questo è ancora rilevante per una società finanziaria? Un utente può continuare a farlo come un'altra opzione per accedere?
Ho la sensazione che tutte le informazioni necessarie per l'accesso possano essere trovate nell'e-mail dell'utente. Supponiamo che il loro indirizzo email sia stato violato ... Richiediamo le stesse informazioni anche per la password dimenticata, anche se la password è qualcosa che gli utenti intrinsecamente rendono segreto. Tutto il resto può essere trovato pubblicamente, a meno che non rispondano correttamente alle domande di sicurezza (come faccio io)
EDIT: Il mio suggerimento: Credo che per recuperare informazioni, una persona dovrebbe avere qualcosa che solo loro sanno (non scritto su carta OVUNQUE), informazioni sulla sicurezza (supponendo che lo abbiano usato per iscriversi [SSN, DOB]) e un'informazione fisica (in questo caso, un numero di carta di debito / credito che possiedono fisicamente). Questo sembra il modo più sicuro per entrare in un account. pensieri?