Cosa fare se un utente perde l'accesso al suo codice di autenticazione?

3

Ho un servizio Web che ho configurato per consentire agli utenti di proteggere i loro account tramite autenticazione a due fattori tramite un'app autenticatore come Google Authenticator e Authy.

Quando lo abiliti, menziono di annotare il segreto dell'autenticatore nel caso tu perdessi l'accesso al tuo dispositivo.

Anche così, ho utenti che mi inviano email chiedendo di disabilitare l'autenticazione a due fattori sui loro account perché il loro telefono è morto, cancellato l'app, ecc ...

Ci sono altre opzioni oltre a dire semplicemente "mi dispiace, non posso fare - hai perso il tuo account"?

C'è qualche insieme di informazioni su un utente che potrei chiedere per darmi la certezza che sono realmente il proprietario dell'account (e non solo che hanno accesso all'e-mail)?

Le uniche informazioni che raccolgo sull'utente sono le loro email, password e indirizzo IP.

    
posta Paul 28.08.2018 - 20:28
fonte

1 risposta

4

È possibile utilizzare un mix di ritardo temporale e codici di backup. Quando l'utente attiva 2FA, mostragli un paio di Codici di backup (come fa Google) e chiedi loro di salvarlo da qualche parte e chiedi uno dei codici nella schermata successiva. Questo ti farà risparmiare qualche problema in seguito.

Di tanto in tanto, chiedere all'utente uno dei codici di backup quando accede, anche se invia il token 2FA. Se non sa / non ha i codici di backup, ne genera di nuovi, li invia all'utente, gli chiede di salvare i codici, ne chiede un altro a caso nella schermata successiva. L'utente verrà informato che i codici di backup sono speciali.

Se l'utente perde entrambi i codici 2FA e di backup, creare un processo molto lungo per recuperare i codici. Mostragli i passaggi necessari, quanto tempo impiegano e dove si trova:

  1. L'utente chiede un reset 2FA, gli invia un link e dichiara che il link sarà disponibile dalle 24h alle 48h DOPO che fa clic sul link

  2. L'utente riceve un link che dice a qualcuno con questo IP / OS / browser di reimpostare la 2FA, e se era lui, deve aspettare fino al giorno successivo e fare clic sul link.

  3. Il giorno dopo, l'utente fa clic sul collegamento e riceve un'altra posta con un link e un token di ripristino che deve essere immesso sul sito tra 24 ore e 48 ore dopo. Aggiungi lo stesso messaggio che qualcuno, forse lui, con questo IP / OS / browser ha provato a ripristinare il suo 2FA.
  4. Il giorno successivo, l'utente fa clic sul collegamento, carica una pagina, entra nel tuo sito ed entra nel token. Digli che dovrà effettuare nuovamente il login tra 24 ore e 48 ore e 2FA sarà disabilitato.
  5. L'utente si riavvia dopo 4 giorni, dopo aver ricevuto almeno 3 e-mail che gli dicono che qualcuno sta tentando di ripristinare la sua 2FA.

Penso che 4 giorni siano sufficienti a far perdere interesse a un hacker nell'account ea un buon periodo di tempo per consentire a qualsiasi utente di rilevare e bloccare qualsiasi pirateria di account. Se 4 giorni non bastano, puoi aumentare il tempo tra ogni email. E ogni utente veramente interessato a recuperare il suo account seguirà le istruzioni.

    
risposta data 28.08.2018 - 21:34
fonte

Leggi altre domande sui tag