1

多要素ログインを設計しています。ユーザーが自分の Web サイトにログイン名を入力して送信すると、一時コードをテキストで送信します。これを送信すると、セッション ID が作成され、ログイン プロセスが完了します。このプロセス中にユーザーにパスワードを入力させる必要がありますか? それはベストプラクティスですか?

4

2 に答える 2

1

はい、パスワードが必要です。説明したように、ユーザーはパスワードを入力する必要はありません。これは実際には単一要素認証です。MFA は通常、知っているもの (パスワード) と、持っているもの (電話、指紋、手の形など) です。あなたの設計では、誰かがユーザーの電話を盗み、ターゲットのユーザー名を知っていると仮定して、ログインを通過する可能性があります。

また、誰かのログイン情報を知っていると、あなたからのテキスト メッセージをスパムとして送信できるという厄介な副作用もあります。

ベスト プラクティスは、ユーザー名とパスワードを使用してユーザーにサインインさせることです。ユーザー名とパスワードを使用した後に、テキスト メッセージを送信するかどうかを尋ねます。

于 2013-10-16T18:21:30.187 に答える
0

パスワードを必要としない場合は、一時的なコードを唯一の要因として利用していることになります。

つまり、誰かが私の電話を盗む (または単に電話番号を盗む) 可能性があり、パスワードを知らなくてもこのアカウントにアクセスできるということです!

いいえ、これは良い習慣ではありません。

于 2013-10-16T18:22:13.073 に答える