Ho un'applicazione con un tipo di utente che "restituisce se necessario" nel corso di 22 giorni per completare gli elementi di azione. L'applicazione gestisce le informazioni sensibili / riservate, ma > Il 90% degli utenti non usa il sistema dopo 60 giorni. Meno dell'1% dopo un anno.
Sto cercando di identificare un'opportunità per completare gli elementi di azione on-demand il più rapidamente e facilmente possibile. Per facilitare l'accesso, quando vengono creati nuovi elementi di azione, vogliamo includere un link con un token nell'e-mail che scade quando:
- È passata una settimana
- L'utente ha eseguito l'accesso con successo
Dopo aver fatto clic sul collegamento, l'utente viene reindirizzato a una pagina in cui vengono richieste le informazioni di verifica (non una password). Devono fornire uno dei seguenti :
- Ultimo 4 di SSN
- Zip e DOB
Se falliscono tre tentativi, il loro account è bloccato e accessibile solo utilizzando la password fornita al momento dell'iscrizione o completando la reimpostazione della password. Se l'utente tenta di accedere all'app con un token scaduto, o visitando il sito web direttamente anziché tramite una e-mail, sono richiesti sia il nome utente sia la password.
Gli utenti hanno la possibilità di abilitare SMS 2FA dopo la creazione dell'account in qualsiasi momento.
Le mie preoccupazioni principali sono:
- È una settimana troppo lunga per questo token? Anche con la verifica secondaria richiesta.
- Sta bloccando un account dopo 3 tentativi di token troppo indulgenti?
- Esistono altri standard di facile utilizzo che potrebbero accelerare l'accesso senza compromettere la sicurezza?