Sichere Art und Weise Passwort Retrieval / Zurücksetzen zu tun?

StackOverflow https://stackoverflow.com/questions/3532156

Frage

Bevor ich beginne, mein Grund für die nicht mit OAuth ist ich glaube, es ist nicht wirklich etwas, das wir an diesem Projekt verwenden sollten, sind wir eine Plattform erreicht, die für Unternehmen verpackt und weiterverkauft werden, die auf ihre eigene Reihe von Anwendungen verbinden, dass wir wirklich nicht wollen, Konten haben dass wir nicht% 100 unter Kontrolle sind, wir wollen es kein Shared-Login mit anderen Diensten sein, und wir wollen nicht die Menschen zwingen, in eine google / yahoo / openID / aol / Facebook / Blogger bekommen / Wordpress / was auch immer Konto.

Nun, was ich möchte, ist der beste Weg, Benutzer zu lassen, ein Passwort erneut eingestellt.

Ich hasse das Konzept der Geheimnis-Fragen: Was Schule hast du liest? Nun, können Sie Ihre Facebook-Seite überprüfen. Was war Ihre erste Klasse Lehrer? Hier können sie bitten, nur beiläufig.

Ich hasse mit one-time-Passwörter per E-Mail: Seit wann ist E-Mail sicher? Ihr Chef liest es. Ihre aussendet Spam-Mails an mich jeden Tag. Es ging in Ihre Junk-ist. Es ist nicht verschlüsselt versendet.

Ich will kein Passwort verwenden, um ein Kennwort entweder zurücksetzen. Das macht einfach keinen Sinn machen.

Ich bin wirklich hier aus Ideen für die beste Weg, dies zu tun, so dass ich denke, ich würde die Gemeinschaft fragen.

War es hilfreich?

Lösung

Ihr Problem ist, dass Sie auslagern Vertrauen brauchen. Wenn der Benutzer sein Passwort vergisst, müssen Sie nicht mehr ein direkt Art und Weise, ihnen zu vertrauen, so dass Sie eine externe Quelle verwenden, um Ihre Beziehung wiederherzustellen.

Wenn Sie denken, E-Mail unsicher ist (was es ist, tatsächlich), könnten Sie versuchen, Telefon. Geben Sie ihnen einen Anruf mit dem temporären Passwort. Oder ein Fax. Oder Post, oder eine SMS, etc.

Dies ist so sicher wie die Telefonleitungen / Postträger, über welche die Rückstell bewegt, und in den meisten Bereichen, Telefon oder Abschnitten mit der Mail-Manipulationen ist streng durch das Gesetz bestraft.

Wenn das nicht gut ist, sollten Anwender eine OTP-Token Ausgabe oder Smartcard, oder so etwas.

Andere Tipps

Barring zu Tierarzt in der Lage, die Person persönlich, ich glaube, Sie alle vernünftigen Optionen aufgelistet habe ich gesehen habe. Meiner Meinung nach dem einmalige Passwort per E-Mail ist die überlegene Option als Menschen neigen dazu, zumindest will, dass ihre E-Mail privat halten. Ich persönlich hasse geheime Fragen - zu groß für eine Chance der Antworten öffentlich sein (siehe Sarah Palin E-Mail-Vorfall). Wenn Sie geheime Fragen tun werden, zumindest lassen die Benutzer ihre eigenen Fragen zur Verfügung.

Ich denke, dies ist eine schwierige Umsetzung erfordert aber das Senden neues Passwort des Benutzers Mobiltelefon als SMS-Nachricht kann eine alternative Lösung sein. Mobiltelefone sind viel sicherer als persönlicher Mailbox.

Dann werden die Benutzer aufgefordert, ihre Handy-Nummern einzugeben. Benutzer, die diese Funktionalität nicht werden wollen, per E-Mail neue Passwörter zur Verfügung gestellt.

Jetzt Benutzer wählen ein geheimes Bild (oder Bilder). Oder machen Benutzer ihr eigenes Bild hochladen.

Das funktioniert besser als geheime Fragen . Geheime Fragen haben zwei gemeinsame Probleme:

  1. Benutzer gibt eine Antwort, die leicht von anderen erhalten werden kann.
  2. Benutzer kennt erstes Problem und statt eine real Antwort gibt eine zufällige Antwort, später selbst zu vergessen, was es war.

Mit dem Benutzer machen geheimes Bild auszuwählen (n) oder besser noch ihre eigenen Bilder hochladen. Es wird einfacher für Benutzer es später wieder zu, wenn das Passwort erholt, da es einfacher ist, visuelle Assoziationen zu machen.

Bei der Wiederherstellung des Passworts vorhanden Anwender mehr Möglichkeiten, das richtige Bild zu wählen.

Sie wollen also tatsächlich um den Benutzer zu beweisen, dass er ist, der er behauptet, er ist, ohne aufschlussreiche Informationen über sich selbst (wenn Sie Informationen mit Social Hacking bekommen)

Es gibt 3 Möglichkeiten für die Authentifizierung: Etwas Sie sind (Biometrie), Etwas, das man (Dongle zum Beispiel) hat und Etwas, das Sie wissen (Passwort, Antwort ...). 2 oder 3-Wege-Authentifizierung ist viel sicherer als die 1-Weg.

Passwort Reset / Wiederherstellung per Definition reduziert die Sicherheit des Authentifizierungsverfahrens, weil sein jetzt nicht A, sondern (A oder B). (A = Passwort, B = recover-Passwort)

Deshalb, auch wenn Sie Ihre Authentifizierungsverfahren 1-Weg (Passwort), Ihre Recovery-Prozesse sollen eine 2-Wege-Authentifizierung sein.

Lassen Sie uns sehen, was Ihre Optionen für das Passwort-Recovery-Prozess sind:

  1. Etwas Sie sind (SysAdmin, dass Sie erkennen - in der Regel nicht gut für die 5000 Arbeiter Organisation, Voice-Druck - zu teuer zu implementieren, ...)
  2. Etwas, das Sie haben (E-Mail-Konto, Telefonnummer, ...)
  3. Etwas, das Sie wissen (persönliche Details)

Beachten Sie, dass Corporate-ID-Tag mit Bild ist eine 2-Wege-Authentifizierung (beide etwas, das Sie sind und was Sie haben).

ich denke, das beste Verfahren für die Mitarbeiter ist physisch geht an die IT-Abteilung, zeigt ihnen ausweist, und fragen Sie nach einem Passwort-Reset.

Ist dies nicht durchführbar (zu weit - ein Remote-Zweig zum Beispiel), versucht, eine deligator verwenden, die erkannt und kann über das Telefon vertraut werden, so dass die Mitarbeiter den ID-Tag zu einem lokalen deligator zeigen müssen.

Wenn Sie nicht verwenden können, die ‚Etwas, das du bist,‘ - du mit etwas links sind Sie haben (E-Mail, Telefonnummer, Ihren eigenen PC) und etwas, das Sie kennen (Personalien ...). Sie können es nicht entweichen kann.

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top