web-dev-qa-db-ja.com

パスワードのリセット機能のより安全なものはどれですか-セキュリティの質問または電子メールのリセットリンク?

製品にパスワードのリセット機能を提供する必要があります。このために私は2つの競合する解決策を持っています:

  1. パスワードリセットリンクをメールでユーザーに送信する
  2. 秘密の質問に基づくソリューションを提供する

セキュリティチームによる評価に基づいて、セキュリティの質問は安全ではないと見なされます。その理由は、セキュリティの質問では、一般的に配偶者と出会った都市、小学校の名前などの個人情報を要求するためです。

それで、この評価は正しいのですか?パスワードをリセットするためのセキュリティの質問ベースのソリューションは避けるべきですか?

password-resetsecret-questions
3
Manchanda. P

セキュリティチームに同意します。 「セキュリティの質問」はそれ自体では安全ではありません。都市はIP経由で見つけることができ、名前はグーグルで検索でき、ペットのニックネームは推測できます。

ただし、両方の方法を組み合わせることができます。最初にメールを送信し、ユーザーがリンクをクリックしたときに質問します。この方法で、少なくとももう少しセキュリティをプロシージャに追加します。ブルートフォースが不可能であることを確認するための3回の不正な試行の後のロック(たとえば、12時間)についても検討してください。

2
licklake

あなたのセキュリティチームに同意します。こうした種類の質問は、ソーシャルメディア、オンライン調査、または単なる当て推量から簡単に取り上げることができません。それは「あなたの犬の名前は何ですか」よりもはるかに良くすることができますが、それでも時代遅れです。

必要に応じて、ほとんどの状況で3番目の選択肢をお勧めします。携帯電話番号の登録が必要であり、SMS=パスワード変更の確認コードを携帯電話に送信する。

悲しいことに、一部のユーザーはどこでも同じ/類似したパスワードを持っています。そして、あなたのこの顧客が攻撃者に彼の電子メールアカウントを取得することから始めた場合はどうなりますか?次に、彼のメールを読んで彼があなたの製品のアカウントを持っていることを見つけます。次に、彼のアカウントを会社に引き継いで、パスワード変更リンクをメールで送信します。

1
Simply G.