5

始める前に、 OAuthを使用しない理由は、このプロジェクトで実際に使用すべきものではないと考えているからです。パッケージ化して企業に再販するプラットフォームをターゲットにしているためです。 100%管理できないアカウントを持ちたくありません。他のサービスとの共有ログインにしたくありません。また、人々に google/yahoo の取得を強制したくありません。 /openID/aol/facebook/blogger/wordpress/任意のアカウント。

さて、私が望むのは、ユーザーがパスワードを再設定できるようにする最善の方法です。

私は秘密の質問の概念が嫌いです: あなたはどこの学校に行きましたか? さて、あなたのFacebookページをチェックしましょう。1年生の先生は?気軽に聞いてみましょう。

電子メールでワンタイム パスワードを使用するのは嫌いです。電子メールはいつから安全ですか? 上司が読んでいます。あなたは毎日私にスパムメールを送ります。それはあなたのジャンクビンに入りました。暗号化されて送信されません。

パスワードをリセットするためにパスワードを使用したくありません。これは意味がありません。

これを行うための最善の方法については、ここで本当にアイデアがありません。コミュニティに尋ねてみようと思います。

4

5 に答える 5

9

あなたの問題は、信頼を外部委託する必要があることです。ユーザーがパスワードを忘れた場合、そのユーザーを直接信頼する方法がなくなるため、外部の情報源を使用して関係を再確立する必要があります。

電子メールは安全ではないと思われる場合 (実際にはそうです)、電話を試すことができます。一時パスワードを電話で伝えます。またはファックス。または普通郵便、または SMS など。

これは、リセットが通過する電話回線/郵便事業者と同じくらい安全であり、ほとんどの地域では、電話による傍受やメールの改ざんは法律で厳しく罰せられます。

それが良くない場合は、ユーザーに OTP トークンやスマートカードなどを発行することを検討してください。

于 2010-08-20T15:11:52.237 に答える
4

その人を直接吟味することができない限り、あなたは私が見たすべての合理的な選択肢をリストしたと思います. 私の意見では、人々は少なくとも電子メールを非公開にしたい傾向があるため、電子メールを介したワンタイム パスワードが優れたオプションです。私は個人的に秘密の質問が嫌いです - 答えが公開される可能性が高すぎます (サラ・ペイリンの電子メール事件を参照してください)。秘密の質問をする場合は、少なくともユーザーが自分で質問を選択できるようにします。

于 2010-08-20T15:11:49.913 に答える
2

これには難しい実装が必要だと思いますが、ユーザーの携帯電話に新しいパスワードをテキスト メッセージとして送信することも代替ソリューションになる可能性があります。携帯電話は、個人の受信トレイよりもはるかに安全です。

次に、ユーザーは携帯電話番号を入力するよう求められます。その機能を必要としないユーザーには、電子メールで新しいパスワードが提供されます。

于 2010-08-30T13:43:59.187 に答える
1

ユーザーに秘密の画像を選択させます。または、ユーザーに独自の画像をアップロードさせます。

これは秘密の質問よりも効果的です。秘密の質問には 2 つの一般的な問題があります。

  1. ユーザーは、他のユーザーが簡単に取得できる回答を提供します。
  2. ユーザーは最初の問題を知っており、実際の答えの代わりにランダムな答えを出し、後でそれが何であったかを忘れてしまいます。

ユーザーに秘密の画像を選択させるか、自分の画像をアップロードすることをお勧めします。視覚的な関連付けがしやすいため、後でパスワードを回復するときにユーザーが思い出すのが簡単になります。

パスワードを復元するとき、正しい画像を選択するためのいくつかの選択肢がユーザーに提示されます。

于 2010-08-27T16:00:17.790 に答える
1

したがって、実際には、ユーザーが自分自身に関する情報を明らかにすることなく、自分が主張するとおりの人物であることをユーザーに証明してもらいたいと考えています (ソーシャル ハッキングで任意の情報を取得できると仮定します)。

認証には 3 つの方法があります: 自分自身 (バイオメトリクス)、持っているもの (ドングルなど)、知っているもの (パスワード、応答など)。2 方向または 3 方向の認証は、1 方向よりもはるかに安全です。

パスワードのリセット/回復は、定義上、認証手順のセキュリティを低下させます。これは、現在は A ではなく (A または B) であるためです。(A=パスワード、B=回復パスワード)

したがって、認証手順が 1 方向 (パスワード) であっても、回復プロセスは 2 方向認証である必要があります。

パスワード回復プロセスのオプションを見てみましょう。

  1. あなたが何か (あなたを認識するシステム管理者 - 通常、5000 人の従業員の組織には適していません。ボイス プリント - 実装するには費用がかかりすぎます...)
  2. あなたが持っているもの (電子メール アカウント、電話番号など)
  3. あなたが知っていること(個人情報)

画像付きの企業 ID タグは、双方向の認証 (あなた自身とあなたが持っているものの両方) であることに注意してください。

最善の手順は、従業員が物理的に IT 部門に行き、写真付き ID を提示して、パスワードのリセットを依頼することだと思います。

これが不可能な場合 (たとえば、遠隔地の支店など)、認識され、電話で信頼できる委任者を使用してみてください。そのため、従業員は ID タグを地元の委任者に提示する必要があります。

「あなたの何か」を使用できない場合は、持っているもの (電子メール、電話番号、自分の PC) と知っているもの (個人情報など) が残されます。あなたはそれを逃れることはできません。

于 2010-08-29T07:58:06.410 に答える