Mi è stato chiesto di aggiungere una funzionalità a un sito Web per richiedere uno spillo per gli utenti. Il sito utilizza attualmente nome utente e password. Se un utente desidera modificare la propria password, deve fornire la password corrente OPPURE utilizzare una funzione "promemoria password" che invia un token di accesso one-time al proprio indirizzo e-mail.
C'è una richiesta per aggiungere un codice pin numerico (almeno 4 cifre) in modo che l'utente possa autenticarsi con nome utente + password + codice pin. Dovremmo aggiungere il codice pin nel modulo di gestione dell'account e, immagino, consentire agli utenti di modificare il pin se possono ricordare il loro pin precedente O usano la funzione di accesso one-time.
Tre domande:
- Questo in realtà aiuta la sicurezza in qualche modo?
- È più efficace se il pin si trova nella schermata di accesso principale o in una seconda pagina in un formato a più fasi?
- Se possiamo facilmente applicare una politica per le password, (che richiede una cifra, un carattere speciale, ecc.) è più o meno utile?
Sono interessato a molte prospettive qui e sceglierò una risposta che presenti vantaggi e svantaggi a queste strategie.