طريقة آمنة للقيام بالاسترجاع/إعادة ضبط كلمة المرور؟

Question

قبل أن أبدأ ، سبب عدم استخدامه OAUTH هل أعتقد أنه ليس شيئًا يجب أن نستخدمه في هذا المشروع ، فنحن نستهدف منصة يتم تعبئتها وإعادة بيعها للشركات ، والتي تتصل بمجموعة من الاستخدامات التي لا نريد حقًا الحصول على حسابات نحن لا نتحكم في 100 ٪ ، ولا نريد أن يكون دودًا مشتركًا مع خدمات أخرى ، ولا نريد إجبار الناس على الحصول على Google/Yahoo/OpenID/AOL/Facebook/Blogger/WordPress /أيا كان الحساب.

الآن بعد ذلك ، ما أود هو أفضل طريقة للسماح للمستخدمين بإعادة تعيين كلمة مرور.

أنا أكره مفهوم الأسئلة السرية: ما هي المدرسة التي حصلت عليها؟ حسنًا ، دعنا نتحقق من صفحة Facebook الخاصة بك. ما هو معلم الصف الأول الخاص بك؟ دعنا فقط نسألهم عرضا.

أكره استخدام كلمات المرور لمرة واحدة عبر البريد الإلكتروني: منذ متى يكون البريد الإلكتروني آمنًا؟ رئيسك يقرأها. إرسال رسائل البريد الإلكتروني الخاصة بك إرسال رسائل البريد الإلكتروني كل يوم. ذهب إلى junk-bin الخاص بك. لم يتم إرسالها مشفرة.

لا أريد استخدام كلمة مرور لإعادة تعيين كلمة مرور أيضًا. هذا فقط لا معنى له.

أنا حقًا من الأفكار هنا للحصول على أفضل طريقة للقيام بذلك ، لذلك أعتقد أنني سأطلب المجتمع.

Answer 1

مشكلتك هي أنك تحتاج إلى الاستعانة بمصادر خارجية للثقة. إذا نسي المستخدم كلمة المرور الخاصة بهم ، فلن يكون لديك مباشرة طريقة للثقة بهم ، لذلك عليك استخدام مصدر خارجي لإعادة تأسيس علاقتك.

إذا كنت تعتقد أن البريد الإلكتروني غير آمن (وهو ، في الواقع) ، يمكنك تجربة الهاتف. اتصل بهم مع كلمة المرور المؤقتة. أو الفاكس. أو البريد الحلزون ، أو الرسائل القصيرة ، إلخ.

هذا آمن مثل خطوط الهاتف/شركات النقل البريدية التي تنتقل إليها إعادة الضبط ، وفي معظم المناطق ، يعاقب القانون في معظم المناطق أو العبث بالبريد.

إذا لم يكن هذا جيدًا ، ففكر في إصدار رمز OTP ، أو بطاقة ذكية ، أو شيء ما.

Answer 2

باستثناء القدرة على فحص الشخص الشخصي ، أعتقد أنك أدرجت جميع الخيارات المعقولة التي رأيتها. في رأيي ، فإن كلمة المرور لمرة واحدة عبر البريد الإلكتروني هي الخيار المتفوق حيث يميل الناس إلى الرغبة على الأقل في الحفاظ على بريدهم الإلكتروني الخاص. أنا شخصياً أكره أسئلة سرية - كبيرة جدًا من فرصة الإجابات العامة (انظر حادثة البريد الإلكتروني لسارة بالين). إذا كنت ستفعل أسئلة سرية ، فدع المستخدم على الأقل يختار أسئلتهم الخاصة.

Answer 3

أعتقد أن هذا يتطلب تطبيقًا صعبًا ولكن إرسال كلمة مرور جديدة إلى هاتف المستخدم المحمول كرسالة نصية قد يكون حلاً بديلاً. الهواتف المحمولة أكثر أمانًا من صندوق الوارد الشخصي.

بعد ذلك ، يُطلب من المستخدمين إدخال أرقام هواتفهم المحمولة. يتم توفير كلمات مرور جديدة عن طريق البريد الإلكتروني للمستخدمين الذين لا يريدون هذه الوظيفة.

Answer 4

اجعل المستخدمين تحديد صورة سرية (أو صور). أو جعل المستخدم تحميل صورته الخاصة.

هذا يعمل بشكل أفضل من أسئلة سرية. الأسئلة السرية لها مشكلتان مشتركتان:

1. يعطي المستخدم إجابة يمكن الحصول عليها بسهولة من قبل الآخرين.
2. يعرف المستخدم المشكلة الأولى وبدلاً من أ حقا الجواب يعطي أ عشوائي الجواب ، في وقت لاحق نسيان أنفسهم ما كان عليه.

من خلال جعل المستخدم لتحديد الصور (الصور) السرية أو الأفضل من خلال تحميل صوره الخاصة. سيكون من الأسهل على المستخدم أن يتذكرها لاحقًا عند استرداد كلمة المرور ، حيث أنه من الأسهل إنشاء جمعيات مرئية.

عند استرداد كلمة المرور الحالية للمستخدم مع عدة خيارات لاختيار الصورة الصحيحة.

Answer 5

لذلك تريد فعلاً أن يثبت المستخدم أنه من يدعي أنه ، دون الكشف عن معلومات عن نفسه (على افتراض أنه يمكنك الحصول على أي معلومات مع القرصنة الاجتماعية)

هناك 3 طرق للمصادقة: شيء أنت (القياسات الحيوية) ، شيء لديك (دونجل على سبيل المثال) وشيء تعرفه (كلمة المرور ، الرد ...). 2 أو 3-Way المصادقة أكثر أمانًا من اتجاه واحد.

إعادة تعيين كلمة المرور/الاسترداد ، بحكم التعريف تقلل من أمان إجراء المصادقة ، لأنه الآن ليس أ ، ولكن (أ أو ب). (A = كلمة المرور ، ب = كلمة مرور استرداد)

لذلك ، حتى إذا كان إجراء المصادقة الخاص بك في اتجاه واحد (كلمة المرور) ، يجب أن تكون عمليات الاسترداد الخاصة بك مصادقة ثنائية الاتجاه.

لنرى ما هي خياراتك لعملية استرداد كلمة المرور:

1. شيء أنت (sysadmin الذي يتعرف عليك - عادة ما يكون جيدًا بالنسبة إلى 5000 عامل ، طباعة صوتية - مكلفة للغاية لتنفيذها ، ...)
2. شيء لديك (حساب البريد الإلكتروني ، رقم الهاتف ، ...)
3. شيء تعرفه (التفاصيل الشخصية)

لاحظ أن علامة معرف الشركة مع Picture هي مصادقة ثنائية الاتجاه (كلاهما شيء لديك وشيء لديك).

أعتقد أن أفضل إجراء هو أن ينتقل الموظف جسديًا إلى قسم تكنولوجيا المعلومات ، وإظهار معرف صورته ، وطلب إعادة تعيين كلمة المرور.

إذا كان هذا غير ممكن (بعيدًا جدًا - فرع بعيد على سبيل المثال) ، فحاول استخدام Deligator الذي تم التعرف عليه ويمكن الوثوق به عبر الهاتف ، لذلك سيتعين على الموظف إظهار علامة الهوية إلى Deligator المحلي.

إذا لم تتمكن من استخدام "شيء أنت"-فأنت تركت بشيء لديك (البريد الإلكتروني ، رقم الهاتف ، الكمبيوتر الخاص بك) وشيء تعرفه (التفاصيل الشخصية ...). لا يمكنك الهروب منه.