Sto creando una funzione di recupero password sicura simile a quella descritto qui .
Durante la fase finale del recupero della password, all'utente viene posta una domanda di recupero per verificare la propria identità.
Qualcuno sa dove posso trovare un elenco di domande di recupero del campione? Idealmente queste domande verrebbero valutate per la sensibilità culturale, o, se possibile, anche per natura (in relazione al tema del sito web)
Prova quanto segue: goodsecurityquestions.com - fornisce un elenco di esempi buoni e cattivi, insieme a linee guida su come pensare alla sicurezza domande. Dichiarano inoltre che le loro linee guida sono state utilizzate da Prudential, Delta Airlines, American Express e ING Direct.
Citazione interessante dal sito:
However, there really are NO GOOD security questions; only fair or bad questions. "Good" gives the impression that these questions are acceptable and protect the user. The reality is, security questions present an opportunity for breach and even the best security questions are not good enough to screen out all attacks. There is a trade-off; self-service vs. security risks.
Le domande di sfida sono spesso la parte più debole di un meccanismo di password online: forzare "nome da nubile della madre" o "prima scuola" o persino "nome dell'animale domestico" rende molto facile per un utente malintenzionato, dato che queste informazioni sono spesso pubbliche.
In linea di principio permettere agli utenti di scegliere le proprie domande potrebbe darti un po 'più di sicurezza - se sono abbastanza esperti da non usare le domande standard, che nella mia esperienza, non lo sono!
Mi piace la risposta di Rook - digita la spazzatura casuale, ma ricorda quale dovrebbe essere la risposta: questo renderà difficile per un utente malintenzionato.
Oppure digita la spazzatura per la domanda e la risposta: ciò impone che la reimpostazione della password debba utilizzare percorsi alternativi (come usare una sfida telefonica o visitare la banca, ecc.), il che potrebbe rendere ancora più difficile l'attacco.
Per prima cosa, non pensare al recupero della password, pensa al recupero dell'account. (Il recupero della password porta a voler archiviare le password in testo semplice, il che è pessimo.)
In secondo luogo, ci sono molte buone recensioni di queste domande là fuori. Dovresti chiedere, perché usarli del tutto?
La risposta giusta dipende da quanto bene conosci i tuoi clienti. Una banca potrebbe utilizzare un controllo ID, mentre un basso ostacolo al servizio di accesso come Twitter o instagram potrebbe utilizzare una sfida inviata all'e-mail del cliente.
In ogni caso, più l'autenticazione di backup utilizza dettagli noti solo a te e ai tuoi clienti, più sicuro (e potenzialmente utilizzabile) sarà.
Leggi altre domande sui tag passwords password-management