Ich arbeite an einer Webanwendung, bei der - ob Sie es glauben oder nicht - die Benutzer ihre E-Mail-Adresse nicht angeben müssen, um sich anzumelden. Diese Anforderungen können sich nicht ändern. Die Benutzer melden sich mit einer ID und einem Passwort wie jede Standard-Website beim System an. Das Problem, mit dem ich konfrontiert bin, hat mit Benutzern zu tun, die ihr Passwort vergessen haben. Wenn sie eine neue generieren möchten, wie verifiziere ich ihre Identität?Best Practices für Sicherheitsfragen in Web-Apps
Zunächst wollte ich die Benutzer eine Sicherheitsfrage (aus einer Liste von 5) auswählen und eine Antwort geben. Wenn sie jemals die Seite Passwort vergessen eingeben, müssen sie ihre Login-ID sowie die Antwort auf ihre Sicherheitsfrage eingeben. Dies scheint etwas unsicher zu sein, da die Antwort auf diese Art von Fragen (Mädchenname der Mutter, Geburtsort usw.) im Allgemeinen nicht so schwer zu erlangen ist.
sind so hier einige meiner Fragen:
- Sind Sicherheitsfragen der beste Ansatz für dieses Problem?
- Wenn ja, was sind die besten Fragen?
- Für wie viele Fragen muss ein Benutzer die Antworten eingeben?
- Ist es notwendig, ein CAPTCHA auf der Seite Passwort vergessen?
- Ist es besser für Benutzer, ihre eigenen Fragen zu erzeugen?
Jede Hilfe/Kommentare/Literatur zu diesem Thema würde sehr geschätzt werden.