È possibile convalidare un nuovo account utente / reimpostare la password senza inviare un'e-mail o un numero di telefono?

Naviga le tue risposte
0

Sono interessato a creare un meccanismo di accesso che crei un utente e convalidi il suo account, senza utilizzare nessuno dei suoi dettagli come email, numero di telefono ecc.

Ecco cosa posso pensare:

  • Consenti all'utente di registrarsi da un sito web. Questo usa il loro browser
  • Fai in modo che scarichino un'applicazione sul proprio telefono / desktop
  • Quindi eseguono l'accesso utilizzando il nome utente e la password definiti nel passaggio 1
  • Nell'app, fanno clic su un pulsante per verificare il proprio account

Alcuni problemi a cui posso pensare

  • Se invece si utilizza la versione desktop, potrebbero creare un bot clic / tipo automatico per convalidare
  • L'utente potrebbe aver dimenticato il proprio nome utente / password e sarà disconnesso dall'applicazione telefono / desktop, il che significa che non è possibile reimpostare il proprio account

Per risolvere il problema relativo alla reimpostazione della password, potrei utilizzare l'autenticatore di Google per creare un codice unico. Il problema è se l'utente non ha accesso al proprio telefono

Sarebbe un metodo valido per creare un servizio basato su web / app senza raccogliere le informazioni personali degli utenti? Se no, ci sono altre idee o questo non è davvero possibile?

Se questo non è necessario per convalidare un utente, questo funzionerebbe proteggendo un account (usando l'app del telefono)

    
posta iProgram 16.12.2016 - 19:27
fonte

4 risposte

1

Se il fulcro della soluzione è su un meccanismo per autenticare un utente senza raccogliere alcuna delle sue informazioni personali (come l'id di posta elettronica), quindi l'utilizzo di un meccanismo di autenticazione delegato è un modo per andare. Ad esempio, OpenID potrebbe essere utilizzato per sfruttare un server di autenticazione esterno per le nostre esigenze di autenticazione. In questo modo, non dobbiamo memorizzare alcuna informazione personale dell'utente. Maggiori informazioni possono essere trovate qui .

Ora, se l'obiettivo è implementare un meccanismo di autenticazione autonomamente, e non si desidera utilizzare alcun canale di ripristino (come l'e-mail o il numero di telefono), allora un multi-fattore ( L'opzione MFA) è la strada da percorrere: Google Authenticator, l'invio di un messaggio push all'app del telefono e così via. L'MFA per una soluzione desktop potrebbe essere ottenuta tramite un "token software". Esistono alcuni provider noti, come Entrust o AuthAnvil .

    
risposta data 16.12.2016 - 21:40
fonte
0

L'email o il numero di telefono è principalmente una sicurezza nel caso in cui l'utente dimentichi la sua password. Come puoi identificare se il ragazzo che dice di aver dimenticato la sua password è il vero proprietario o un pirata se non hai seconda via per unirti all'utente originale? Domande segrete hanno dimostrato di essere o non rintracciabili dall'utente o di supporre che qualcuno lo conosca. Ad esempio sono stati utilizzati per accedere all'e-mail di Sarah Palin durante la campagna del 2012 semplicemente perché le risposte potevano essere trovate su internet ...

    
risposta data 16.12.2016 - 19:48
fonte
0

Un'opzione per reimpostare la password senza un'e-mail o un numero di telefono da parte dell'utente potrebbe fornire all'utente un OTP per reimpostare la sua password generata al momento della creazione dell'account, simile a quelle fornite nelle e-mail di reimpostazione della password. Un codice abbastanza lungo con una buona casualità che lo rende impossibile da indovinare, i cambiamenti una volta utilizzati e i token utilizzati in precedenza non sono accettati possono soddisfare i tuoi requisiti

Questa soluzione ha due problemi principali:

  • Non risolve il problema quando il nome utente è dimenticato
  • Ha lo stesso problema degli OTP senza scadenza per le reimpostazioni di password inviati tramite e-mail, se un utente malintenzionato è in grado di compromettere il computer degli utenti o ottiene il token con altri significati, quindi l'utente viene rappresentato. E in questo caso non recupererà mai il suo account in quanto non ha altro modo di cambiare la password

Se il tuo requisito di privacy è abbastanza prioritario per accettare questi problemi, potrebbe essere un modo per farlo

    
risposta data 16.12.2016 - 23:03
fonte
0

Abbiamo implementato una soluzione di reimpostazione della password che aiuta a reimpostare la password senza alcuna connettività di rete. Qui sto condividendo l'idea, non la logica esatta in quanto è protetta da IP.

La soluzione consiste in un server di reimpostazione password e un'applicazione client mobile. Dopo aver scaricato l'applicazione sullo smartphone, l'utente si è registrato al server di reimpostazione password e crea un segreto condiviso. L'applicazione client è personalizzata con i segreti condivisi e questa attività unica.

Un sito Web o qualsiasi altra pagina di accesso, quando l'utente fa clic sul link Password dimenticata , viene richiamata l'API di reimpostazione password. Il server risponde con un messaggio crittografato sotto forma di codice QR, che può essere decrittografato correttamente solo dall'app client personalizzata. La logica di decrittografia viene scritta all'interno dell'applicazione client che viene calcolata localmente, quindi non è richiesta alcuna connettività di rete. Questo testo decodificato viene utilizzato come OTP durante il reset della password.

Il segreto condiviso svolge qui il ruolo chiave per crittografare l'OTP sul server e decifrare con successo sul client il dispositivo.

Lo stesso concetto può essere esteso anche per la verifica dell'account. Ora la sfida è decidere la logica che può dipendere dal design o dall'organizzazione dell'applicazione.

    
risposta data 15.02.2017 - 05:33
fonte

Leggi altre domande sui tag

server Apache compromesso con un referente di reindirizzamento di backdoor apache [duplicato] Come può qualcuno determinare dove ha origine un router / SSID wireless? [duplicare]