在我开始之前,我不使用OAuth的原因是我认为这不是我们应该在这个项目中使用的东西,我们的目标是一个平台,该平台将被打包并转售给公司,这些公司连接到他们自己的一组用途我们真的不希望拥有不受 %100 控制的帐户,我们不希望它与其他服务共享登录,我们也不希望强迫人们获得 google/yahoo /openID/aol/facebook/blogger/wordpress/任何帐户。
现在,我想要的是让用户重新设置密码的最佳方法。
我讨厌秘密问题的概念:你去了哪所学校?好吧,让我们检查一下您的 Facebook 页面。你一年级的老师是什么?让我们随便问问他们。
我讨厌通过电子邮件使用一次性密码:从什么时候开始电子邮件安全?你的老板会读它。您每天都向我发送垃圾邮件。它进了你的垃圾箱。它没有加密发送。
我也不想使用密码来重置密码。这没有任何意义。
我真的不知道最好的方法来做到这一点,所以我想我会问社区。
你的问题是你需要外包信任。如果用户忘记了他们的密码,您将无法直接信任他们,因此您必须使用外部资源来重新建立您的关系。
如果您认为电子邮件不安全(实际上确实如此),您可以试试电话。用临时密码给他们打电话。或者传真。或蜗牛邮件,或短信等。
这与重置所经过的电话线/邮政运营商一样安全,并且在大多数地区,电话拦截或篡改邮件受到法律的严格惩罚。
如果这样做不好,请考虑向用户发放 OTP 令牌、智能卡或其他东西。
除非能够亲自审查此人,否则我认为您已经列出了我所见过的所有合理选择。在我看来,通过电子邮件的一次性密码是更好的选择,因为人们往往至少希望将他们的电子邮件保密。我个人讨厌秘密问题——答案公开的可能性太大(参见 Sarah Palin 电子邮件事件)。如果你要做秘密问题,至少让用户选择他们自己的问题。
我认为这需要一个困难的实现,但将新密码作为短信发送到用户的手机可能是一种替代解决方案。手机比个人收件箱安全得多。
然后,要求用户输入他们的手机号码。通过电子邮件向不想要该功能的用户提供新密码。
让用户选择一个秘密图像(或图像)。或者让用户上传自己的图片。
这比秘密问题更有效。秘密问题有两个常见问题:
通过让用户选择秘密图像或更好地上传他们自己的图像。用户在恢复密码时更容易回忆它,因为它更容易进行视觉关联。
恢复密码时,用户可以通过多种选择来选择正确的图像。
因此,您实际上希望用户证明他就是他声称的那个人,而不透露有关他自己的信息(假设您可以通过社交黑客获取任何信息)
有 3 种身份验证方式:你是什么(生物识别)、你拥有的东西(例如加密狗)和你知道的东西(密码、响应......)。2 或 3 向身份验证比 1 向身份验证安全得多。
根据定义,密码重置/恢复降低了身份验证过程的安全性,因为它现在不是 A,而是(A 或 B)。(A=密码,B=恢复密码)
因此,即使您的身份验证过程是 1 向(密码),您的恢复过程也应该是 2 向身份验证。
让我们看看您对密码恢复过程有哪些选择:
请注意,带有图片的公司 ID 标签是一种双向身份验证(您的身份和您拥有的身份)。
我认为最好的程序是让员工亲自去 IT 部门,出示他的照片 ID,并要求重置密码。
如果这是不可行的(太远 - 例如远程分支),请尝试使用可识别并且可以通过电话信任的 deligator,因此员工必须向本地 delator 出示 ID-tag。
如果你不能使用“Something you are”——你就剩下你拥有的东西(电子邮件、电话号码、你自己的电脑)和你知道的东西(个人详细信息……)。你无法逃脱它。