Devo implementare una funzionalità di reimpostazione della password con l'autorizzazione di Multifactor. Il piano è di utilizzare questi 2 fattori: chiedere a un qs di sicurezza e inviare un codice email / sms all'utente.
Penso che l'ordine di questi dovrebbe essere: answer qs --- > invia il codice --- > crea una nuova password. Ma il nostro wireframe attuale ha: invia codice - > rispondi al qs --- > crea una nuova password.
Pensieri?
La tua idea di cambiare l'ordine è buona, perché la domanda aggiuntiva potrebbe essere utilizzata per evitare l'invio di inutili messaggi di reimpostazione della password semplicemente digitando il nome utente o l'indirizzo email. La domanda di sicurezza non è lì perché è sicura: la loro natura tende ad essere facile da rispondere dopo aver ricercato l'obiettivo. Ecco perché l'ordine è importante per altri motivi.
Se si utilizzano gli indirizzi e-mail come nomi di accesso, questi sono associati tra loro in un modo che rende facile sapere dove vanno le informazioni necessarie per reimpostare la password. Ciò non è generalmente pericoloso per ogni utente, ma su un grande gruppo di utenti potrebbe esserci qualcuno che è vulnerabile. Inoltre, se l'email viene compromessa per prima, può essere utilizzata per reimpostare le password per tali siti. In questo caso, due fattori non sono molti.
Esistono tutti i tipi di variazioni, ma i fattori devono sempre essere indipendenti: qualcosa che devi conoscere e qualcosa a cui devi avere accesso. L'uso di e-mail e SMS aggiunge ulteriore livello di sicurezza, ad es.
Oggigiorno è normale che le persone abbiano la propria e-mail sul proprio telefono. Avere accesso illimitato a qualcuno telefono dà il massimo potere su due di questi fattori: email e amp; SMS. Ecco perché i file di sicurezza non sono completamente inutili anche se non aggiungono un strong livello di sicurezza. La fase 1 probabilmente impedisce l'utilizzo di un telefono rubato sbloccato per la reimpostazione della password.
Leggi altre domande sui tag password-reset