Al momento utilizziamo 5 domande di sicurezza, ma il team operativo ci sta chiedendo se potremmo abbassare fino a 3.
Con ciò, qual è la migliore pratica per questo? Quante domande di sicurezza dovrebbero essere poste?
Se controlli OWASP , ci sono alcune risorse da provare e aiutare.
Ma il loro punto di base (che ho sentito fare più volte in altri posti, ma non riesco a trovare il link per) è che le domande di sicurezza non sono generalmente un grande approccio. Tuttavia, dicono
a good practice might be to require the user to select 1 or 2 questions from a set of canned questions as well as to create (a different) one of their own and then require they answer one of their selected canned questions as well as their own question
Penso - ma ancora una volta, non posso dimostrare - che la possibilità di reimpostare la password e avere un link temporaneo inviato ad un indirizzo email preconfermato sia l'approccio preferito.
Leggi altre domande sui tag defense reference-request