manière sécurisée à faire la récupération de mot de passe / réinitialisation?
https://stackoverflow.com/questions/3532156
-
30-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Avant de commencer, ma raison de ne pas utiliser OAuth est je crois que ce n'est pas vraiment quelque chose que nous devrions utiliser ce projet, nous visons une plate-forme qui sera emballé et revendus à des entreprises qui se connectent à leur propre ensemble d'utilisations que nous ne voulons vraiment pas avoir des comptes que nous ne sommes pas 100% dans le contrôle, nous ne voulons pas que ce soit une connexion partagée avec d'autres services, et nous ne voulons pas forcer les gens à obtenir un Google / Yahoo / openID / aol / facebook / blogueur / wordpress / whatever compte.
Maintenant, ce que je voudrais est la meilleure façon de permettre aux utilisateurs de re-définir un mot de passe.
Je déteste le concept de-questions secrètes: quelle école avez-vous goto? Eh bien, permet de vérifier votre page facebook. Quel était votre professeur de première année? Permet de simplement leur demander avec désinvolture.
Je déteste utiliser un mot de passe-temps par courrier électronique: Depuis quand est email sécurisé? Votre patron le lit. Votre envoi des e-mails de spam pour moi tous les jours. Il est entré dans votre poubelle indésirable. Il est pas transmis sous forme cryptée.
Je ne veux pas utiliser un mot de passe pour réinitialiser un mot de passe soit. Cela ne fonctionne tout simplement pas de sens.
Je suis vraiment d'idées ici pour la meilleure façon de le faire, alors je me dis que je demanderais à la communauté.
La solution
Votre problème est que vous avez besoin de sous-traiter la confiance. Si l'utilisateur oublie son mot de passe, vous n'avez plus directement façon de leur faire confiance, vous devez utiliser une source extérieure pour rétablir votre relation.
Si vous pensez e-mail est non sécurisé (ce qui est, en fait), vous pouvez essayer de téléphone. Donnez-leur un appel avec le mot de passe temporaire. Ou un fax. Ou par la poste, ou un SMS, etc.
Ceci est aussi sûr que les lignes téléphoniques / transporteurs postaux sur lesquels la remise à zéro se déplace, et dans la plupart des régions, conversations téléphoniques interceptées ou l'altération du courrier est strictement puni par la loi.
Si ce n'est pas bon, Envisagera d'utilisateurs un jeton OTP ou carte à puce, ou quelque chose.
Autres conseils
À moins d'être en mesure de vétérinaire la personne en personne, je pense que vous avez énuméré toutes les options raisonnables que j'ai vu. À mon avis, le mot de passe unique par courrier électronique est l'option supérieure que les gens ont tendance à au moins veulent garder leur e-mail privé. Personnellement, je déteste les questions secrètes - trop grand de chance des réponses étant public (voir l'incident e-mail de Sarah Palin). Si vous allez faire des questions secrètes, au moins laisser l'utilisateur choisir leurs propres questions.
Je pense que cela nécessite une mise en œuvre difficile, mais l'envoi de nouveau mot de passe au téléphone mobile de l'utilisateur comme un message texte peut être une solution de rechange. Les téléphones portables sont beaucoup plus sûr que la boîte de réception personnelle.
Ensuite, les utilisateurs sont invités à entrer leur numéro de téléphone mobile. Les utilisateurs qui ne veulent pas que la fonctionnalité sont fournis nouveaux mots de passe par email.
Les utilisateurs de sélectionner une image Make secrète (ou images). Ou faire utilisateur télécharger leur propre image.
Cela fonctionne mieux que questions secrètes . Les questions secrètes ont deux problèmes communs:
- utilisateur donne une réponse qui peut être facilement obtenue par d'autres.
- utilisateur connaît premier problème et au lieu de real réponse donne une au hasard réponse, plus tard s'oublier ce qu'il était.
En faisant utilisateur de sélectionner l'image secrète (s) ou mieux encore télécharger leurs propres images. Il sera plus facile pour l'utilisateur de rappeler plus tard lors de la récupération du mot de passe, car il est plus facile de faire des associations visuelles.
Lors de la récupération du mot de passe utilisateur présente plusieurs choix pour choisir l'image de droite.
Vous voulez réellement à l'utilisateur de prouver qu'il est bien celui qu'il prétend qu'il est, sans informations révélatrices sur lui-même (en supposant que vous pouvez obtenir des renseignements avec piratage informatique sociale)
Il y a 3 façons pour l'authentification: Quelque chose que vous êtes (biométrie), Quelque chose que vous avez (dongle par exemple) et que vous connaissez (mot de passe, la réponse ...). 2 ou l'authentification à 3 voies est beaucoup plus sûr que 1 à sens unique.
Password Reset / récupération, par définition réduit la sécurité de la procédure d'authentification, parce que son pas maintenant A, mais (A ou B). (A = mot de passe, B = récupérer mot de passe)
Par conséquent, même si votre procédure d'authentification est de 1 à sens unique (mot de passe), vos processus de récupération devrait être une authentification à 2 voies.
voir le Let quelles sont vos options pour le processus de récupération de mot de passe:
- Quelque chose que vous êtes (SysAdmin que vous reconnaissez - généralement pas bon pour 5000 l'organisation des travailleurs, la voix-print - trop cher à mettre en œuvre, ...)
- Quelque chose que vous avez (compte e-mail, numéro de téléphone, ...)
- Quelque chose que vous savez (données personnelles)
Notez que balise d'entreprise ID avec photo est une authentification à 2 voies (à la fois quelque chose que vous êtes et quelque chose que vous avez).
Je pense que la meilleure procédure est pour l'employé d'aller physiquement au service informatique, montrer sa carte d'identité d'image et demander une réinitialisation de mot de passe.
Si cela est infaisable (trop loin - une branche à distance par exemple), essayez d'utiliser un deligator qui est reconnu et peut faire confiance au téléphone, de sorte que l'employé devra montrer l'étiquette d'identification à un deligator local.
Si vous ne pouvez pas utiliser le « Quelque chose que vous êtes » - vous vous retrouvez avec quelque chose que vous avez (e-mail, téléphone numéro, votre PC) et quelque chose que vous savez (détails personnels ...). Vous ne pouvez pas y échapper.
