とにかく、システム内のユーザー アカウントがパスワードの試行の失敗またはパスワードの回答の試行の失敗によりロックアウトされた後のおかしなタイトル ロック解除プロセスはどのように開始する必要がありますか。現在1をフォローしており、ユーザーはシステムを嫌うことがあります :(
password reset唯一の方法として要求する必要があります。unlock account link- 古いパスワードで正常にログインした後 (ただし、主にログインできなかったためにここにたどり着きました)上記は、専門家によると私が得た最もばかげたオプションかもしれませんが、私は学ぶためにここにいます. だから、正しい道を示してください。ありがとうございます
これは本当にシステムに依存します。
ただし、パスワードのリセットを強制することはお勧めできません。悪意のあるユーザーがいる状況を考えてみてください。私は単にあなたのアカウントにログインしようと試み、あなたをロックアウトし、あなたが入るにはリセットする必要があります。
私が目にする最も一般的なシナリオは、ASP.NET が既定で処理する方法のようなものです。X 回のログイン試行が行われ、アカウントが Y 期間ロックされます。
そのため、10 回試行してから、アカウントを 10、20、30 分間ロックして、元に戻します。
ビジネスケースにもよると思います。
イントラネット経由でのみアクセス可能なビジネスアプリケーションですか、おそらくhttpsを使用したインターネット経由でもアクセスできます。その場合、ユーザーが再度ログインできるようになるまでタイムアウトすることをお勧めします。ログエントリや管理者へのメッセージは最悪のアイデアではないと思います。
それとも、ユーザーが不明なインターネット経由でアクセスできるコンシューマーアプリケーションですか?その場合、私は電子メールを好むでしょう。
番号 2 と同様に、ユーザーがアカウントのロックを解除するために電子メールを要求できるようにしますが、パスワードは要求しません。あなたは、彼らがアカウントのパスワードを知っていることに頼るのではなく、セキュリティのために電子メールアドレスのパスワードを知っていることに頼っています (あなたが述べているように、多くの場合、知られていません)。