Сброс безопасного пароля, не посылая электронное письмо

Как правило, идентификация пользователя как real в Интернете требует модели «согласия», когда пользователь «выбирает» сброс своего пароля, и отправляется электронное письмо, подтверждающее, что он либо хочет его сбросить, либо он был сброшен, и каков новый пароль для сброса.

На самом деле, единственные достаточно безопасные альтернативы - это те, которые используют аналогичный метод. Отправьте электронное письмо, текстовое SMS-сообщение, на которое они должны ответить, автоматический телефонный звонок, во время которого они должны ввести цифры и т. д.

Единственный способ, о котором я могу думать, без использования этой системы, - это секретный вопрос. Банки часто используют их для дополнительной проверки, когда пользователи входят в систему или не могут войти в нее несколько раз правильно. Иногда они также используются в качестве «секретного» кода для получения пароля, но даже в этом случае он обычно отправляется пользователю по электронной почте, а не отображается на странице.

Не отправляя электронное письмо, вы значительно ограничиваете себя. Одно из преимуществ отправки кода сброса пароля или нового пароля на чей-либо адрес электронной почты заключается в том, что вы можете полагаться на предположение, что он единственный человек, имеющий доступ к своей учетной записи электронной почты.

Тем не менее, вы можете использовать схему «Секретный вопрос», чтобы позволить кому-либо сбросить свой пароль. Когда этот человек создает свою учетную запись, вам необходимо записать его секретный вопрос и ответ. Затем вы должны спросить пользователя с этим вопросом и разрешить сброс только в том случае, если он ответит правильно.

Я должен предупредить вас, что это не очень хороший метод защиты их пароля от несанкционированного доступа. Чтобы найти хорошую статью, прочтите: http://www.schneier.com/blog/archives/2005/02/the_curse_of_th.html

Вы не можете узнать, кто пытается сбросить пароль "Джо". Это может быть Джо или кто-то, выдающий себя за Джо.

Альтернативой отправке электронного письма является звонок на один из телефонов Джо с помощью одноразовой клавиши сброса или отправка SMS-сообщения.

Звонок на телефон Джо с помощью звуковое сообщение легко сделать с http://www.twilio.com/ Но любой может поднять трубку офисного телефона Джо. Так что, как правило, перед звонком вам понадобится дополнительная проблема. Например, секретный вопрос / ответ. Используя телефон и секретные вопросы и ответы, вы усложнили задачу плохим парням, но Джо все еще может это сделать.

Еще одна идея - отправить сообщение о перезагрузке кому-то, кому Джо доверяет и кто знает Джо. (Отправьте по электронной почте или по телефону / смс.) Один из вариантов - отправить сотруднику, который знает Джо, например, его назначенный торговый представитель, представитель отдела кадров и т. д.

Используйте сообщение: отправьте обычное письмо с кодом сброса в нем. Чтобы добраться туда, потребуется пара дней, но кража почты - это федеральное преступление. См. http://www.postalmethods.com/ Если есть очень плохие возможные отрицательные результаты, это может быть хорошим решением.

Для любого из вышеперечисленных, Джо будет вводить информацию, когда устанавливает

Другой пример - попросить Джо позвонить в службу поддержки и позволить человеку допросить его.

Суть в том, что ни одна техника не идеальна. См. Историю взлома в Twitter: http://www.technewsworld.com/story/67612.html?wlc=1247790901&wlc=1248238327

Последняя мысль: не забывайте об антифишинге. Часто это делается путем предоставления Джо возможности выбрать картинку, которую сайт будет показывать ему, когда он делает что-то важное.