Inc*_*ito 5 security passwords reset-password
在开始之前,我不使用OAuth的原因是我认为这不是我们应该在这个项目上使用的东西,我们的目标是打包并转售给公司的平台,这些公司连接到他们自己的一组用途,我们真的不想拥有我们不是100%控制的帐户,我们不希望它与其他服务共享登录,我们不想强迫人们获得谷歌/雅虎/ openID/aol/facebook/blogger/wordpress /无论如何.
现在,我想要的是让用户重新设置密码的最佳方式.
我讨厌秘密问题的概念:你去过哪所学校?那么,让我们检查你的Facebook页面.你的一年级老师是什么?让我们随便问他们.
我讨厌通过电子邮件使用一次性密码:因为什么时候电子邮件安全?你的老板读了它.您每天都会向我发送垃圾邮件.它进入你的垃圾桶.它没有加密发送.
我也不想使用密码来重置密码.这没有意义.
我真的没有想法,这是最好的方法,所以我想我会问社区.
你的问题是你需要外包信任.如果用户忘记了密码,您将无法直接信任他们,因此您必须使用外部来源重新建立关系.
如果您认为电子邮件不安全(实际上是这样),您可以尝试电话.用临时密码给他们打电话.或传真.或蜗牛邮件,或短信等.
这与重置所经过的电话线/邮政运营商一样安全,并且在大多数地区,电话拦截或篡改邮件受到法律的严格惩罚.
如果这不好,可以考虑向用户发放OTP令牌或智能卡等.