Alternative al recupero di password comuni

Naviga le tue risposte
2

Wired ha recentemente scritto un articolo su il top tech fallisce nel 2012 e, senza sorprese, la password era presente nell'elenco, in particolare il modo in cui un utente può recuperare le proprie password.

Quali sono alcune valide alternative al classico metodo "reimposta la tua password tramite e-mail"? Non ho davvero visto nient'altro implementato e le cose che ho visto non sono molto amichevoli per l'utente di computer comune e spesso comportano molti passaggi che rendono gli utenti frustrati.

Fornisci alcuni esempi di siti che usano alternative! Sono interessato:)

    
posta Josh Terrill 27.12.2012 - 19:37
fonte

3 risposte

1

L'autenticazione è fatta usando uno di questi o la loro combinazione:
1- Qualcosa che conosci (password di testo come ovunque!)
2- Qualcosa che hai (token, smart card, ecc.) 3- Qualcosa che sei (retina dell'occhio, impronta digitale, ecc.).

Tutti questi metodi hanno i loro punti deboli nella loro natura.
Combinarli aiuta ma declina anche la facilità d'uso e amp; disponibilità.
La debolezza delle password è che può essere cambiata senza identificare chi lo sta facendo.
È vulnerabile nella sua natura.
Ovviamente puoi combinarlo, ad es. reimpostare la password dopo aver verificato le impronte digitali o la carta d'identità, pensando a disponibilità e amp; utenti normali, in realtà è inutile.

Ad ogni modo, personalmente preferisco rispondere alle mie domande sulla sicurezza per reimpostare la mia password, principalmente perché le mie risposte sono come le password più o meno, incomprensibili e amp; mal tipato!

Q: qual è stato il tuo cartone animato d'infanzia preferito?
A: h0w d0 u kn0w se mai w @ tch3d 1?

    
risposta data 27.12.2012 - 20:04
fonte
1

L'unico altro metodo comune a cui mi sono imbattuto è l'utilizzo di un canale di comunicazione secondario, come SMS, che deve chiamare, Twitter (!) o un account di posta elettronica secondario.

Ho sentito dell'idea di avere un utente che carica un'immagine e di identificare alcune cose all'interno dell'immagine (volti, nomi, luoghi, oggetti, ecc.), ma anche questo ha i suoi difetti.

La cosa, come sempre, per bilanciare i metodi sicuri con l'usabilità.

    
risposta data 27.12.2012 - 21:24
fonte
1

Dipende tutto dalla base di utenti di destinazione.

Ad esempio, in Finlandia, quasi tutti i computer governativi ufficiali † (specialmente quelli usati per accedere alle informazioni sensibili) hanno l'autenticazione a due fattori (password e una carta d'identità). In questi casi, poi vai avanti, usa qualche applet Java / soluzione ActiveX / Silverlight / Flash per fornire un'autenticazione extra usando queste periferiche.

Nella maggior parte dei casi, stai parlando di un utente domestico che utilizza la tua applicazione / servizio web. Biometrics e carte d'identità e non si può fare affidamento su ciò.

Quindi quali sono le alternative?

Insieme a SMS o e-mail alternative con una domanda di sicurezza, suggerisco di testare la conoscenza del proprio account da parte dell'utente con un ragionevole margine di errore, mantenendolo il più possibile user-friendly. Può essere un test multistadio come questo:

1- Choose the friend with whom you chat the most (applies to socialnetworking sites)

2- How many times do you think you've logged in this week? (applies to almost any web service)

3- How many times have you played FarmExpert on our website? (ask about something the user has never used)

Possono anche essere computer utilizzati dai dipendenti della banca.

    
risposta data 28.12.2012 - 15:55
fonte

Leggi altre domande sui tag

OAuth è appropriato per l'utilizzo di un'API privata da parte dei clienti registrati? Le vulnerabilità di WordPress sono importanti nella intranet?