Problemi di sicurezza per i token di accesso monouso a lunga durata con verifica dell'identità secondaria?

4

Ho un'applicazione con un tipo di utente che "restituisce se necessario" nel corso di 22 giorni per completare gli elementi di azione. L'applicazione gestisce le informazioni sensibili / riservate, ma > Il 90% degli utenti non usa il sistema dopo 60 giorni. Meno dell'1% dopo un anno.

Sto cercando di identificare un'opportunità per completare gli elementi di azione on-demand il più rapidamente e facilmente possibile. Per facilitare l'accesso, quando vengono creati nuovi elementi di azione, vogliamo includere un link con un token nell'e-mail che scade quando:

  • È passata una settimana
  • L'utente ha eseguito l'accesso con successo

Dopo aver fatto clic sul collegamento, l'utente viene reindirizzato a una pagina in cui vengono richieste le informazioni di verifica (non una password). Devono fornire uno dei seguenti :

  • Ultimo 4 di SSN
  • Zip e DOB

Se falliscono tre tentativi, il loro account è bloccato e accessibile solo utilizzando la password fornita al momento dell'iscrizione o completando la reimpostazione della password. Se l'utente tenta di accedere all'app con un token scaduto, o visitando il sito web direttamente anziché tramite una e-mail, sono richiesti sia il nome utente sia la password.

Gli utenti hanno la possibilità di abilitare SMS 2FA dopo la creazione dell'account in qualsiasi momento.

Le mie preoccupazioni principali sono:

  1. È una settimana troppo lunga per questo token? Anche con la verifica secondaria richiesta.
  2. Sta bloccando un account dopo 3 tentativi di token troppo indulgenti?
  3. Esistono altri standard di facile utilizzo che potrebbero accelerare l'accesso senza compromettere la sicurezza?
posta Daniel Brown 12.07.2016 - 01:28
fonte

0 risposte

Leggi altre domande sui tag