Penso che il tuo capo possa fraintendere la situazione un po '. Se un utente sta effettuando l'accesso a un sito Web utilizzando un browser Web e la praticità è un fattore importante per loro, molto probabilmente avranno il proprio browser / password salvati per il proprio nome utente e password. Con questo scenario, l'utente non deve fare nulla se non fare clic su un pulsante nel proprio browser. Tutto ciò che il PIN farà è rendere le cose più complicate per l'utente, infastidirle e molto probabilmente renderà il tuo sistema meno sicuro (a causa di difetti di implementazione).
Per rispondere alle tue domande sopra:
- Il NIST è probabilmente la scelta migliore per quanto riguarda gli standard. Da questo
è fondamentalmente una password, cerca la complessità della password
requisiti (nota, un PIN fallirà praticamente ognuno di questi)
- Non sono a conoscenza di siti Web di grandi dimensioni che li utilizzano. L'unico posto
I PIN sono realmente utilizzati sui telefoni cellulari e sono diversi
usa il caso tutti insieme.
La linea di fondo: la soluzione proposta avrà un costo per non fornire alcun vantaggio e indebolirà la vostra sicurezza e potenzialmente lascerà la società passibile di un'azione legale.