Pro e contro di questo schema di reimpostazione della password?

2

Gestisco il processo di reimpostazione della password nell'istituzione in cui lavoro. Attualmente, chiediamo agli utenti di inventare domande e risposte (tre minimo e cinque massimo); le domande non possono ripetersi, né possono le risposte. Quando dimenticano la loro password, chiediamo loro di identificarsi con alcune informazioni conosciute (data di nascita e identificativo dell'istituto) e poi le presentano con una delle loro domande. Questo meccanismo non ci sta causando mal di testa e vorrei sostituirlo. Ho letto almeno una coppia risposte qui mi piace, ma vorrei qualche riflessione sul seguente schema:

  1. L'utente è tenuto a fornire un indirizzo email di recupero
  2. L'utente dimentica la sua password e va a ripristinarla. Li presentiamo con una versione offuscata dell'indirizzo email che hanno fornito e almeno altri due in base al loro indirizzo di recupero, solo presso diversi fornitori, e fagli scegliere quello giusto
  3. Inviamo loro un link di ripristino all'indirizzo corretto se lo hanno scelto o semplicemente diciamo loro che abbiamo inviato loro un link di reset se hanno scelto il quello sbagliato
  4. Quando fanno clic sul collegamento, sono obbligati a compilare un captcha o a codice che è stato incluso nell'e-mail, oltre al loro nuovo la password

Quando avremo la possibilità, mi piacerebbe offrire SMS o un'app autenticatore anziché / oltre a email.

Questo sembra sufficientemente "sicuro"?

    
posta James Sumners 12.02.2016 - 22:56
fonte

0 risposte

Leggi altre domande sui tag