Sto costruendo un sito che consente agli utenti di programmare interviste / conferenze con terze parti e mi chiedo quale sia il modo migliore per fornire sicurezza intorno all'esperienza dei partecipanti fornendo al contempo la più piccola barriera di usabilità possibile.
Attualmente, invio un'email con un link e un codice di autorizzazione di 5 cifre. Il collegamento apre una pagina, il partecipante digita il codice di autorizzazione ed è temporaneamente connesso per la durata dell'intervista / conferenza.
Da un punto di vista della sicurezza, penso che il codice di autorizzazione sia ridondante e introduce attriti per il partecipante, che potrebbe non avere mai motivo di visitare nuovamente il mio sito e potrebbe non essere tecnicamente esperto. Il link che invio come parte dell'invito contiene una stringa casuale, quindi potrei semplicemente aumentare la sua lunghezza di 5 caratteri e avere lo stesso spazio di ricerca per i potenziali attaccanti.
Il rovescio della medaglia è che dovrei potenzialmente limitare le risposte per gli URL di invito, quindi non sono sicuro che ci sia alcun beneficio da una prospettiva di complessità / linee di codice.
Il codice non-auth sembra meno sicuro, ma so che è irrazionale. Qualche idea su quale sarebbe l'approccio migliore?