パスワードの取得/リセットを行うための安全な方法は?

StackOverflow https://stackoverflow.com/questions/3532156

質問

始める前に、使用しない理由 oauth 私たちがこのプロジェクトで使用する必要があるものではないと思います。私たちは、パッケージ化され、企業に転売されるプラットフォームをターゲットにしています。私たちはコントロールしているわけではありません。他のサービスと共有されたロギンになりたくありません。Google/Yahoo/openID/aol/facebook/blogger/wordpressを人々に強制したくありません/どんなアカウントでも。

さて、私が望むのは、ユーザーがパスワードを再設定できる最良の方法です。

私は秘密の質問の概念が嫌いです:あなたはどの学校を獲得しましたか?さて、Facebookページを確認しましょう。あなたのファーストグレードの先生は何でしたか?何気なく彼らに尋ねましょう。

私は電子メールでワンタイムパスワードを使用するのが嫌いです:メールはいつ安全ですか?あなたの上司はそれを読みます。スパムメールを毎日送信します。それはあなたのジャンクビンに入りました。暗号化されたものではありません。

パスワードを使用してパスワードをリセットしたくありません。これは意味がありません。

私はこれを行うための最良の方法のためにここで本当にアイデアから外れているので、私はコミュニティに尋ねると思います。

役に立ちましたか?

解決

あなたの問題は、信頼を外部委託する必要があることです。ユーザーがパスワードを忘れた場合、あなたはもう持っていません 直接 彼らを信頼する方法なので、外部のソースを使用して関係を再確立する必要があります。

メールが不安定であると思われる場合(実際には)、電話を試すことができます。一時的なパスワードで電話をかけます。またはファックス。またはカタツムリメール、またはSMSなど。

これは、リセットが移動する電話回線/郵便運送業者と同じくらい安全であり、ほとんどの地域では、電話の傍受または郵便物の改ざんは法律によって厳密に処罰されます。

それが良くない場合は、ユーザーにOTPトークン、SmartCardなどを発行することを検討してください。

他のヒント

人を直接吟味できるようにすることを除けば、私が見たすべての合理的な選択肢をリストしたと思います。私の意見では、電子メールによる1回限りのパスワードは、少なくともメールを非公開にしたいと思う傾向があるため、優れたオプションです。私は個人的に秘密の質問が嫌いです - 答えが公開される可能性が大きすぎます(Sarah Palinメールインシデントを参照)。秘密の質問をする場合は、少なくともユーザーに自分の質問を選択させます。

これには難しい実装が必要だと思いますが、テキストメッセージとしてユーザーの携帯電話に新しいパスワードを送信することは、代替ソリューションかもしれません。携帯電話は、個人の受信トレイよりもはるかに安全です。

次に、ユーザーは携帯電話番号を入力するように求められます。その機能を望まないユーザーは、電子メールで新しいパスワードを提供されます。

ユーザーに秘密の画像(または画像)を選択させる。または、ユーザーが独自の画像をアップロードします。

これはよりもうまく機能します 秘密の質問. 。秘密の質問には2つの一般的な問題があります。

  1. ユーザーは、他の人が簡単に取得できる回答を提供します。
  2. ユーザーは最初の問題を知っています 本物 答えはaを与えます ランダム 答え、後でそれが何であるかを忘れてしまいます。

ユーザーに秘密の画像以上を選択するようにして、独自の画像をアップロードします。視覚的な関連性を作る方が簡単なので、パスワードを回復するときに、ユーザーが後でそれを思い出すのが簡単になります。

パスワードを回復するときは、ユーザーに適切な画像を選択するためのいくつかの選択肢を提示します。

したがって、あなたは実際にユーザーに、自分自身についての情報を明らかにすることなく、自分が主張している人であることを証明してほしい(ソーシャルハッキングで情報を入手できると仮定)

認証には3つの方法があります。あなたがいるもの(生体認証)、あなたが持っているもの(例えばドングル)、そしてあなたが知っているもの(パスワード、応答...)。 2または3ウェイ認証は、1ウェイよりもはるかに安全です。

定義上、パスワードのリセット/回復により、認証手順のセキュリティが減少します。これは、Aではなく(AまたはB)からです。 (a =パスワード、b =回復password)

したがって、認証手順が1ウェイ(パスワード)であっても、回復プロセスは2ウェイ認証である必要があります。

パスワード回復プロセスのオプションを見てみましょう。

  1. あなたがいるもの(あなたを認識するsysadmin-通常は5000人の労働者組織には良くありません、音声プリント - 実装するには高すぎます...)
  2. あなたが持っているもの(電子メールアカウント、電話番号、...)
  3. あなたが知っていること(個人的な詳細)

PictureのあるCorporate-IDタグは、2ウェイ認証(あなたがいるものとあなたが持っているものの両方)であることに注意してください。

最良の手順は、従業員が物理的にIT部門に行き、彼の写真IDを見せて、パスワードリセットを求めることだと思います。

これが実行不可能である場合(たとえば、遠すぎる - リモートブランチなど)、認識され、電話で信頼できるデリゲーターを使用してみてください。そのため、従業員は地元のデリゲーターにIDタグを表示する必要があります。

「あなたが何か」を使用できない場合、あなたはあなたが持っているもの(電子メール、電話番号、あなた自身のPC)とあなたが知っている何か(個人的な詳細...)を残しています。あなたはそれを逃れることはできません。

ライセンス: CC-BY-SA帰属
所属していません StackOverflow
scroll top