Zanim zacznę, mój powód, dla którego nie używam OAuth, uważam, że nie jest to coś, co powinniśmy używać w tym projekcie, ale kierujemy się na platformę, która zostanie spakowana i odsprzedana firmom, które łączą się z własnym zestawem korzysta z tego, że naprawdę nie chcemy mieć kont, nad którymi nie mamy 100% kontroli, nie chcemy, aby był to wspólny login z innymi usługami i nie chcemy zmuszać ludzi do zdobywania google/yahoo/openID/aol/facebook/blogger/wordpress/jakiekolwiek konto.Bezpieczny sposób na pobieranie/resetowanie hasła?
Teraz to, co chciałbym, to najlepszy sposób, aby umożliwić użytkownikom ponowne ustawienie hasła.
Nienawidzę pojęcia tajnych pytań: Jakiej szkoły nie masz? Cóż, sprawdzimy twoją stronę na Facebooku. Jaki był twój nauczyciel pierwszej klasy? Po prostu zapytajmy ich od niechcenia.
Nienawidzę używać jednorazowych haseł przez e-mail: Od kiedy poczta e-mail jest bezpieczna? Twój szef to czyta. Wysyłam do mnie wiadomości spamowe każdego dnia. Poszedł do twojego kosza na śmieci. Nie jest wysyłany w postaci zaszyfrowanej.
Nie chcę też używać hasła do resetowania hasła. To po prostu nie ma sensu.
Naprawdę nie mam pomysłów na najlepszy sposób, aby to zrobić, więc sądzę, że zapytam społeczność.
Telefonicznie jest również rozsądną metodą - musisz odebrać od nich numer telefonu, kiedy po raz pierwszy rejestrujesz użytkownika lub masz zaufany sposób, aby go wyszukać, kiedy go potrzebujesz. – Von
Warto zauważyć, że organizacja, w której pierwszy raz jestem wdrożony, utrzymuje około 7000 kont użytkowników, co prawdopodobnie jest nieco wyższe niż średnia mediana dla innych organizacji. – Incognito
@ user257493: Jeśli mają tak wielu użytkowników, mają personel pomocniczy. Jeśli użytkownicy znajdują się w firmie, bezpośrednia weryfikacja tożsamości może być realną opcją. – Borealid