هل تعيد تعيين كلمة المرور فكرة سيئة؟
https://stackoverflow.com/questions/4318149
-
29-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
لدينا تطبيق ويب إعادة تعيين كلمة المرور. يرسل التطبيق رمز تأكيد إلى بريد إلكتروني بديل. يعتقد مديري أنه ليس من الجيد تضمين رابط إلى الصفحة هل كان عليك إدخال الرمز.
أرى حجته. ومع ذلك ، فقد غمرت Helpdesk مع المستخدمين الذين يشعرون بالارتباك بشأن هذه العملية. أفترض أن هذا يرجع إلى أن العديد من مستخدمينا يتصفحون باستخدام علامة تبويب/نافذة واحدة فقط وانتقلوا من تطبيق الويب الخاص بنا للتحقق من بريدهم الإلكتروني للحصول على رمز التأكيد.
سؤالي: كيف يجب أن نتعامل مع هذه القضية؟ أرغب في تخفيف المساعدة ، وبالتالي جعل العملية خالية من الألم لمستخدمينا. أي اقتراحات؟
توضيح
إنه يعتقد أننا نقوم بالمستخدم ضررًا عن طريق تدريبهم على النقر على روابط من مرسل لا يمكن التحقق منه (في هذه الحالة ، إنها رسالة تلقائية مع عنوان "غير متلازم"). هذا ، بدوره ، سيجعل المستخدمين أكثر عرضة لمحاولات التصيد التي واجهنا الكثير من المشكلات في مؤسستنا.
المحلول
أعتقد أن إرسال الروابط هو الطريقة القياسية للقيام بذلك. إذا كان العميل قلقًا حقًا بشأن سلامة حساب البريد الإلكتروني هذا ، فمن الأفضل أن يتم فرزه أولاً.
في الأساس ، لا تكتسب أمانًا إضافيًا من خلال عدم إرسال الرابط ، لكنك تكتسب الكثير من الراحة. فقط افعل ذلك مثل أي شخص آخر - ضعه هناك (Time Limited).
نصائح أخرى
إن الشيء الوحيد في الجزء العلوي من العقل هو خيار الحصول على معرف فريد في موضوع البريد الإلكتروني ، اجعل العملاء يردون على هذا البريد.
ثم يقوم البرنامج النصي الآلي بالتحقق من كلمة المرور forgotten@mycompany.de "لرسائل البريد الإلكتروني مع الموضوع" إعادة: هل نسيت كلمة المرور الخاصة بك؟ [معرف فريد]'. يقوم البرنامج النصي بعد ذلك بالبريد إرسال كلمة مرورهم الجديدة.
نظرًا لأن معظم المستخدمين لن يقوموا بتعديل الموضوع عند ضرب "الرد على" ولن يقوموا "بتكوين بريد جديد" وإدخال عنوان المستلم يدويًا ، فإن الفرص هي رسائل بريد كبيرة واردة إلى "كلمة المرور المنسوبة" ستحصل على هذا الفريد في الموضوع.
بالإضافة إلى أن Helpdesk لن يكون لديه سوى مساعدة أولئك الذين يعدلون بالفعل "موضوع" البريد الإلكتروني. ؛-)
هناك اعتبارات أمنية ، رغم ذلك. ربما يجادل مديرك بأن أي شخص قد يرسل بريدًا مزورًا "Forgor الخاص بك" وتعيين رأس "الرد إلى" على عنوان المهاجم. يجب على البرنامج النصي المعالجة اعتراض محاولات التزوير هذه ...
لا أرى أي سبب لعدم إدراج الرابط ، خاصةً إذا كان الرمز يشبه التجزئة لأن فرص تكسير شخص ما ضئيل.
ومع ذلك ، يمكنك إضافة حماية إضافية إلى الصفحة التي يتم فيها إدراج الرمز والحد من عدد المحاولات إلى شيء مثل 3. لمزيد من الحماية ، وإرسال عنوان البريد الإلكتروني إلى تلك الصفحة أيضًا ، والسماح 3 بمحاولات لكل عنوان بريد إلكتروني بدلاً من 3 محاولات / IP ، والتي يمكن تجاوزها بسهولة.
