1. Inicio
  2. Pregunta y respuesta
  3. ¿Manera segura de recuperar o reiniciar la contraseña?

¿Manera segura de recuperar o reiniciar la contraseña?

2010-08-20 13 views
5

Antes de comenzar, mi razón para no usar OAuth es que creo que no es algo que realmente deberíamos usar en este proyecto, estamos apuntando a una plataforma que será empaquetada y revendida a las compañías, que se conectan a su propio conjunto de utiliza que realmente no queremos tener cuentas de las que no tengamos control% 100, no queremos que sea un acceso compartido con otros servicios, y no queremos obligar a las personas a obtener un google/yahoo/openID/aol/facebook/blogger/wordpress/cualquier cuenta.¿Manera segura de recuperar o reiniciar la contraseña?

Ahora bien, lo que me gustaría es la mejor manera de permitir a los usuarios volver a configurar una contraseña.

Odio el concepto de preguntas secretas: ¿A qué escuela fuiste? Bueno, revisemos su página de Facebook. ¿Cuál fue tu maestro de primer grado? Vamos a preguntarles casualmente.

Odio el uso de contraseñas de un solo uso por correo electrónico: ¿Desde cuándo es seguro el correo electrónico? Tu jefe lo lee Me envía correos electrónicos de spam todos los días. Fue a tu basura. No se envía encriptado.

No quiero utilizar una contraseña para restablecer una contraseña tampoco. Esto simplemente no tiene sentido.

Estoy realmente sin ideas aquí para la mejor manera de hacerlo, así que me imagino que le preguntaría a la comunidad.

Fuente

2010-08-20 Incognito

Respuesta

9

Su problema es que necesita externalizar la confianza. Si el usuario olvida su contraseña, ya no tiene forma directa para confiar en ellos, por lo que debe usar una fuente externa para restablecer su relación.

Si crees que el correo electrónico es inseguro (que en realidad lo es), podrías intentarlo por teléfono. Llámalos con la contraseña temporal. O un fax O correo postal, o un SMS, etc.

Esto es tan seguro como las líneas telefónicas/operadores postales sobre los cuales se realiza el reinicio, y en la mayoría de las áreas, intercepta o manipula el correo está estrictamente castigado por la ley.

Si eso no sirve, considere emitir a los usuarios un token OTP, o tarjeta inteligente, o algo así.

Fuente

2010-08-20 15:11:52 Borealid

+0

Por teléfono también es un método razonable: debe recopilar el número de teléfono de ellos la primera vez que registra al usuario o tiene una forma confiable de buscarlo cuando lo necesite. – Von

+0

Merece la pena observar que la organización en la que soy el primero en implementar mantiene alrededor de 7000 cuentas de usuario, lo que probablemente sea un promedio ligeramente superior al promedio de otras organizaciones. – Incognito

+0

@ user257493: si tienen tantos usuarios, tienen personal de soporte. Si los usuarios están dentro de la empresa, una verificación de identificación cara a cara podría ser una opción viable. – Borealid

4

Al no poder ver a la persona en persona, creo que ha enumerado todas las opciones razonables que he visto. En mi opinión, la contraseña de un solo uso por correo electrónico es la mejor opción, ya que las personas tienden a querer, al menos, mantener su correo privado. Personalmente odio las preguntas secretas, es muy probable que las respuestas sean públicas (consulte el incidente por correo electrónico de Sarah Palin). Si va a hacer preguntas secretas, al menos deje que el usuario elija sus propias preguntas.

Fuente

2010-08-20 15:11:49 Von

+0

Aquí está mi otro problema con preguntas secretas. Siempre ingreso algo diferente (como mi puño contra el teclado unas cuantas veces) porque no me gusta la idea de una puerta trasera simple en mi cuenta – Incognito

+0

Siempre genero respuestas puramente aleatorias para preguntas secretas (de la misma manera que genero frases de paso) actualmente). – Von

+1

El punto de las preguntas secretas parece ser pasado por alto por las personas que las implementan. Las preguntas deben ser más personales y no son de conocimiento público. P.ej. ¿Quién fue tu primer amor? ¿Cuál es su número de zapato? ¿Cuál fue su primer coche? –

1

Haga que los usuarios seleccionen una imagen (o imágenes) secreta. O haz que el usuario cargue su propia imagen.

Esto funciona mejor que preguntas secretas. Las preguntas secretas tienen dos problemas comunes:

  1. usuario da una respuesta que otros pueden obtener fácilmente.
  2. usuario sabe sobre el primer problema y en lugar de real respuesta da al azar respuesta, más tarde olvidando lo que era.

Al hacer que el usuario seleccione imágenes secretas o, mejor aún, subir sus propias imágenes.Será más fácil para el usuario recuperarlo más tarde al recuperar la contraseña, ya que es más fácil hacer asociaciones visuales.

Al recuperar la contraseña presente el usuario con varias opciones para elegir la imagen correcta.

Fuente

2010-08-27 16:00:17

+0

Eso es un inconveniente masivo y propenso a algunos de los mismos problemas que las preguntas secretas. – Incognito

1

lo que en realidad desea que el usuario probar que él es quien dice que es, sin revelar información sobre sí mismo (suponiendo que usted puede conseguir cualquier información con la piratería informática social)

Existen 3 formas para la autenticación: Algo que son (biometría), algo que tienes (mochila por ejemplo) y algo que sabes (contraseña, respuesta ...). La autenticación de 2 o 3 vías es mucho más segura que la de 1 vía.

El restablecimiento/recuperación de la contraseña, por definición, reduce la seguridad del procedimiento de autenticación, porque ahora no es A, sino (A o B). (A = contraseña, B = recuperar contraseña)

Por lo tanto, incluso si su procedimiento de autenticación es de 1 vía (contraseña), sus procesos de recuperación deben ser una autenticación bidireccional.

Vamos a ver cuáles son sus opciones para el proceso de recuperación de contraseña:

  1. Algo que son (SysAdmin que reconocer - por lo general no es bueno para la organización de 5.000 trabajadores, impresión de voz - demasiado caro de implementar, .. .)
  2. algo que tienes (cuenta de correo electrónico, número de teléfono, ...)
  3. algo que sabes (datos personales)

en cuenta que una etiqueta Id corporativa con la imagen es una Autenticación bidireccional (algo que eres y algo que tienes).

Creo que el mejor procedimiento es que el empleado vaya físicamente al departamento de TI, muestre su identificación con foto y solicite un restablecimiento de contraseña.

Si esto no es factible (demasiado lejos - una rama remota por ejemplo), intente usar un deligator reconocido y confiable por teléfono, por lo que el empleado deberá mostrar la etiqueta ID a un deligator local .

Si no puede usar el "Algo que usted es", le queda algo que tiene (correo electrónico, número de teléfono, su propia PC) y algo que usted sabe (datos personales ...). No puedes escapar de eso.

Fuente

2010-08-29 07:58:06

+0

No hay piratería social, los usuarios me están dando información sobre dónde viven, documentos de viaje y otras cosas solo para usar el sistema. – Incognito

+0

"¿Cuál era tu maestra de primer grado? Hagámoslo casualmente" - Esto es hacking social. –

+0

Ah, lo entendí mal. Pensé que querías decir cómo Facebook dibuja conexiones entre productos que te pueden gustar en función de otras cosas, o ejecuta software de reconocimiento facial. Tengo acceso a una gran cantidad de datos confidenciales que a los ladrones de identidad les encantaría, pero no estoy seguro si deseo usarlos como verificación/secretos. – Incognito

2

Creo que esto requiere una implementación difícil, pero el envío de una nueva contraseña al teléfono móvil del usuario ya que un mensaje de texto puede ser una solución alternativa. Los teléfonos móviles son mucho más seguros que la bandeja de entrada personal.

Luego, los usuarios deben ingresar sus números de teléfono móvil. Los usuarios que no desean esa funcionalidad reciben contraseñas nuevas por correo electrónico.

Fuente

2010-08-30 13:43:59 Zafer

Cuestiones relacionadas

 Cuestiones relacionadas