我们有一个密码重置网络应用程序。应用程序将确认代码发送到备用电子邮件。我的经理认为,如果您必须输入代码,则包含指向该页面的链接不是一个好主意。
我看到了他的论点。但是,服务台已经被对流程感到困惑的用户所淹没。我假设这是因为我们的许多用户只使用一个选项卡/窗口浏览并导航出我们的 Web 应用程序以检查他们的电子邮件以获取确认码。
我的问题:我们应该如何处理这个问题?我想减轻帮助台的负担,进而让我们的用户在这个过程中没有痛苦。有什么建议么?
他认为,我们训练用户点击来自无法验证的发件人的链接(在这种情况下,这是一条带有“无回复”地址的自动消息),从而对用户造成了伤害。这反过来又会使用户更容易受到网络钓鱼尝试的影响,我们在组织中遇到了很多问题。
唯一需要考虑的是在电子邮件主题中使用唯一标识符并让客户回复该邮件的选项。
然后,一个自动脚本会检查“password-forgotten@mycompany.de”是否有主题为“Re: Forgot your password?”的电子邮件。[唯一身份]'。然后该脚本会将他们的新密码邮寄给他们。
由于大多数用户在点击“回复”时不会修改主题,也不会“撰写新邮件”并手动输入收件人地址,因此很有可能,“密码忘记”的传入邮件将具有该 UNIQUEID主题。
加上帮助台只会帮助那些实际修改电子邮件“主题”的人。;-)
不过,也有安全方面的考虑。也许您的经理可能会争辩说,任何人都可能发送伪造的“Forgor your password”邮件并将“Reply-To”标头设置为攻击者的地址。处理脚本必须拦截这些伪造尝试......
我认为发送链接是标准的做法。如果客户真的担心这个电子邮件帐户的完整性,他最好先解决这个问题。
本质上,您不会通过不发送链接而获得额外的安全性,但您会获得很多安慰。像其他人一样做 - 把它放在那里(时间有限)。
我看不出为什么不应该包含该链接,特别是如果代码类似于哈希,因为有人破解的可能性微乎其微。
但是,您可以为插入代码的页面添加额外的保护,并将尝试次数限制为 3 次。为了获得更多保护,请将电子邮件地址也发送到该页面,并允许每个电子邮件地址进行 3 次尝试而不是 3 次尝试/IP,可以轻松绕过。