Sto pensando alla logica di recupero della password per un sistema di e-commerce. Qualche backround: le password vengono archiviate usando bcrypt, il recupero della password implica il link di reset standard, che può essere utilizzato per reimpostare la password entro un periodo di tempo limitato.
Vorrei aggiungere un ulteriore passaggio prima di consentire ai clienti di reimpostare, ad esempio domanda di sicurezza . La mia domanda è qual è la migliore pratica, utilizzando gli standard di sicurezza odierni, per situazioni in cui il cliente non può rispondere alla domanda di sicurezza?
Il sistema richiede loro altre informazioni sicure legate al loro ultimo ordine, le ultime 4 cifre della loro carta di credito? (Se sì, cosa succede se il cliente non ha ancora effettuato un ordine?)
Nella mia situazione, avrei bisogno dell'intero processo per essere in grado di essere fatto online (vs per telefono - anche se sarei curioso di sapere quali sono i vantaggi dell'uso del telefono). Non vogliamo che i clienti non siano in grado di effettuare ordini se non riescono a contattare il servizio clienti.