tengo telefono restablecer recuperar olvide olvidada numero electronico cuenta crear correo contraseña como alternativo php security passwords

php - telefono - Restablecimiento seguro de contraseña sin enviar un correo electrónico



recuperar cuenta gmail numero telefono (4)

¿Cómo hago para implementar una función segura de restablecimiento de contraseña sin enviar un correo electrónico al usuario? Hay otra información segura que almaceno y solo el usuario debe saber, pero parece inseguro dejar que el usuario actualice una contraseña solo porque conocen un número de 9 dígitos.

Tenga en cuenta que los datos del usuario se almacenan en una tabla SQL simple debido a las limitaciones de los usuarios reales de la base de datos en el servidor en el que estoy trabajando.

Cualquier entrada sería apreciada.

Actualizar:
Después de hacer un intento en OpenID y recordar que este servidor no permite que PHP (y por lo tanto, cURL) realice ninguna solicitud externa, intenté enviar correo con PHP nuevamente. Aparentemente, todas mis terribles experiencias previas con mail () en este servidor se han ido.

Gracias por todas sus aportaciones, puedo examinar OpenID nuevamente en el futuro.


No tienes manera de saber quién intenta restablecer la contraseña de "Joe". Podría ser Joe, o podría ser alguien que se hace pasar por Joe.

Una alternativa para enviar un correo electrónico es llamar a uno de los teléfonos de Joe con una tecla de reinicio por única vez o enviar un mensaje de texto.

Llamar al teléfono de Joe con un mensaje de audio es fácil con http://www.twilio.com/ Pero cualquiera puede recoger el teléfono de la oficina de Joe. Por lo general, querrás un desafío adicional antes de llamar. Por ejemplo, una pregunta / respuesta secreta. Al usar el teléfono y el secreto q & a, has hecho las cosas más difíciles para los chicos malos, pero todavía son factibles para Joe.

Otra idea es enviar el mensaje de reinicio a alguien en quien Joe confía y que conoce a Joe. (Enviar por correo electrónico o por teléfono / sms.) Una variante de esto es enviarlo a un empleado que conoce a Joe, por ejemplo, su vendedor asignado, representante de recursos humanos, etc.

Use la publicación: envíe una carta de correo con el código de restablecimiento. Tardaría un par de días en llegar, pero el robo de correo es un rap federal. Ver http://www.postalmethods.com/ Si hay resultados negativos muy malos posibles, esta puede ser una buena solución.

Para cualquiera de los anteriores, Joe ingresará la información cuando configure la cuenta.

Otro patrón es requerir que Joe llame a un servicio de ayuda y permita que un ser humano lo interrogue.

La conclusión es que ninguna técnica es perfecta. Vea la historia de breakin en twitter: http://www.technewsworld.com/story/67612.html?wlc=1247790901&wlc=1248238327

Último pensamiento: no te olvides del antiphishing. A menudo, permite que Joe elija una imagen que el sitio le mostrará cuando haga algo importante. La idea es que un sitio de phishing no pueda replicar la interfaz de usuario, lo que aumenta las sospechas de Joe de que quizás no haya llegado al sitio correcto.


Normalmente, identificar a un usuario como real en Internet requiere un modelo de "suscripción" en el que el usuario "opta" por restablecer su contraseña, y se envía un correo electrónico confirmando que o bien desea que se restablezca, o que se ha restablecido y cuál es la nueva contraseña de reinicio

Realmente, las únicas alternativas razonablemente seguras son las que usan un método similar. Envíe un correo electrónico, un mensaje de texto de sms al que deben responder, una llamada telefónica automatizada donde tengan que ingresar los dígitos, etc.

El único método que puedo pensar que no use este sistema sería una pregunta de seguridad. Los bancos a menudo los utilizan para una verificación adicional cuando los usuarios inician sesión o no inician sesión correctamente varias veces. A veces también se utilizan como un código "secreto" para recuperar una contraseña, pero incluso así, generalmente se envía por correo electrónico al usuario, no se muestra en la página.


Punt sobre el problema de la contraseña. Cambiar a OpenID. No tiene que preocuparse por el restablecimiento de la contraseña, y el usuario solo necesita una nueva contraseña si lo desea.

es un ganar-ganar


Sin enviar un correo electrónico, se está limitando significativamente. Uno de los beneficios de enviar un código de restablecimiento de contraseña o una nueva contraseña a la dirección de correo electrónico de alguien es que puede confiar en la suposición de que es la única persona con acceso a su cuenta de correo electrónico.

Dicho esto, podría usar un esquema de "Pregunta secreta" para permitir que alguien restablezca su contraseña. Cuando esta persona crea su cuenta, debe capturar su pregunta secreta y la respuesta. A continuación, le pedirá al usuario que haga esta pregunta, y solo permitirá el restablecimiento si responde correctamente.

Debo advertirle que este no es un buen método para proteger su contraseña del acceso no autorizado. Para leer un buen artículo, consulte: http://www.schneier.com/blog/archives/2005/02/the_curse_of_th.html