Antes de comenzar, mi razón para no usar OAuth es que creo que no es algo que realmente deberíamos usar en este proyecto, estamos apuntando a una plataforma que será empaquetada y revendida a las compañías, que se conectan a su propio conjunto de utiliza que realmente no queremos tener cuentas de las que no tengamos control% 100, no queremos que sea un acceso compartido con otros servicios, y no queremos obligar a las personas a obtener un google/yahoo/openID/aol/facebook/blogger/wordpress/cualquier cuenta.¿Manera segura de recuperar o reiniciar la contraseña?
Ahora bien, lo que me gustaría es la mejor manera de permitir a los usuarios volver a configurar una contraseña.
Odio el concepto de preguntas secretas: ¿A qué escuela fuiste? Bueno, revisemos su página de Facebook. ¿Cuál fue tu maestro de primer grado? Vamos a preguntarles casualmente.
Odio el uso de contraseñas de un solo uso por correo electrónico: ¿Desde cuándo es seguro el correo electrónico? Tu jefe lo lee Me envía correos electrónicos de spam todos los días. Fue a tu basura. No se envía encriptado.
No quiero utilizar una contraseña para restablecer una contraseña tampoco. Esto simplemente no tiene sentido.
Estoy realmente sin ideas aquí para la mejor manera de hacerlo, así que me imagino que le preguntaría a la comunidad.
Por teléfono también es un método razonable: debe recopilar el número de teléfono de ellos la primera vez que registra al usuario o tiene una forma confiable de buscarlo cuando lo necesite. – Von
Merece la pena observar que la organización en la que soy el primero en implementar mantiene alrededor de 7000 cuentas de usuario, lo que probablemente sea un promedio ligeramente superior al promedio de otras organizaciones. – Incognito
@ user257493: si tienen tantos usuarios, tienen personal de soporte. Si los usuarios están dentro de la empresa, una verificación de identificación cara a cara podría ser una opción viable. – Borealid