web-dev-qa-db-ja.com

パスワードをリセットするためにユーザーIDを確認するための良い方法は何ですか

他の人がパスワードをリセットしているユーザーの身元をどのように確認するのかと思っています。私たちは現在、職場でマネージャーに話しかけようとしていますが、それはエンドユーザーを苛立たせ、彼らを信頼していないようです。 SMSを介してパスワードを送信することで問題が解決し、そこには適切なレベルのセキュリティがあるようですが、ユーザーの携帯電話番号がすでに登録されている場合のみとのことです。 。

11
bshacklett

基本的にこれを処理することは、リセットを要求するユーザーがアカウントに対する権限を持つ同じ人物であることを保証するために使用できるいくつかの要因の組み合わせを中心に展開します。

質問で指摘したように、必要な情報が最初に収集されていない可能性があるため、既存のアプリケーションにパスワードリセットシステムを改造する場合に問題が発生する傾向があります。

私が見た方法には、

  • 電子メールアドレス。これは主に、ユーザーがそのアドレスで登録したWebサイトで見られるため、リセット場所として使用されます。それがあり、他の情報がない場合、それは妥当な解決策かもしれません。
  • SMSメッセージ。ほとんどの場合、携帯電話は特定の人に固有である傾向があるため、電話にリセットする(音声通話またはSMSのいずれかによる)が適切なオプションになる可能性があります。
  • 管理者の承認を得てオンラインでリセットします。セットアップは大変ですが、パスワードのリセットリクエストが電子メールで「承認された」人(マネージャなど)に送信され、その人がリクエストを確認するシステムを見てきました(大企業ではヘルプデスクのコストを削減するのに役立ちます)。
  • 私が見た悪いオプション(セキュリティの観点から)は、会社がスタッフについて持っているかもしれないいくつかの個人情報(たとえば、スタッフID、マネージャー名、部門名など)の確認です。部外者ですが、内部ユーザーがすでにこれを知っているという大きなリスクがあります

最終的には、マネージャーによるチェックオプションも一般的であり、ユーザーがITスタッフが信頼していないのではなく、他の誰かが許可なしに自分のアカウントにアクセスできないようにする必要があることをユーザーが理解できれば幸いです。

5
Rory McCune

他のいくつかの方法:

  • サイトの「秘密の質問」/「秘密の答え」のペア
  • アカウントの使用について具体的な質問をする(例:昨日の株取引の数は?今週は?)
  • パスワードのリセットを要求するために電話をする必要性。 例:「こんにちはBlahBlahさん、アカウントにアクセスしようとしました。ロックされていて、電話をかけるべきだと言っています。はい、いくつかの情報を提供できます。はい、特定の語句を言うことができるので、私の声を録音して比較してください。」
  • トークンからデータを通知する必要性(OTPなど)。 例:サイトを使用するにはパスワードを使用しますが、「ロックを解除する」には、ワンタイムパスワードを生成するトークンにあるデータ、または送信した紙のカードにあるデータを入力する必要がありますあなたなど。日常の使用では、パスワードだけが必要です。常にトークンを携帯する必要はありません。
4
woliveirajr

また、ヘルプデスクがマネージャーだけでなく、承認された別のユーザーを要求する場所も確認しました。彼らは、許可されたユーザーの秘密の質問(ばかげているが、ちょっと)を利用し、そのユーザーは、パスワードのリセットを取得しているユーザーを知っていることを確認します。世界中に薄く散らばっている大企業や、旅行するコンサルタントに最適です。

0
J.A. Simmons V