php - telefono - Restablecimiento seguro de contraseña sin enviar un correo electrónico

No tienes manera de saber quién intenta restablecer la contraseña de "Joe". Podría ser Joe, o podría ser alguien que se hace pasar por Joe.

Una alternativa para enviar un correo electrónico es llamar a uno de los teléfonos de Joe con una tecla de reinicio por única vez o enviar un mensaje de texto.

Llamar al teléfono de Joe con un mensaje de audio es fácil con http://www.twilio.com/ Pero cualquiera puede recoger el teléfono de la oficina de Joe. Por lo general, querrás un desafío adicional antes de llamar. Por ejemplo, una pregunta / respuesta secreta. Al usar el teléfono y el secreto q & a, has hecho las cosas más difíciles para los chicos malos, pero todavía son factibles para Joe.

Otra idea es enviar el mensaje de reinicio a alguien en quien Joe confía y que conoce a Joe. (Enviar por correo electrónico o por teléfono / sms.) Una variante de esto es enviarlo a un empleado que conoce a Joe, por ejemplo, su vendedor asignado, representante de recursos humanos, etc.

Use la publicación: envíe una carta de correo con el código de restablecimiento. Tardaría un par de días en llegar, pero el robo de correo es un rap federal. Ver http://www.postalmethods.com/ Si hay resultados negativos muy malos posibles, esta puede ser una buena solución.

Para cualquiera de los anteriores, Joe ingresará la información cuando configure la cuenta.

Otro patrón es requerir que Joe llame a un servicio de ayuda y permita que un ser humano lo interrogue.

La conclusión es que ninguna técnica es perfecta. Vea la historia de breakin en twitter: http://www.technewsworld.com/story/67612.html?wlc=1247790901&wlc=1248238327

Último pensamiento: no te olvides del antiphishing. A menudo, permite que Joe elija una imagen que el sitio le mostrará cuando haga algo importante. La idea es que un sitio de phishing no pueda replicar la interfaz de usuario, lo que aumenta las sospechas de Joe de que quizás no haya llegado al sitio correcto.

Normalmente, identificar a un usuario como real en Internet requiere un modelo de "suscripción" en el que el usuario "opta" por restablecer su contraseña, y se envía un correo electrónico confirmando que o bien desea que se restablezca, o que se ha restablecido y cuál es la nueva contraseña de reinicio

Realmente, las únicas alternativas razonablemente seguras son las que usan un método similar. Envíe un correo electrónico, un mensaje de texto de sms al que deben responder, una llamada telefónica automatizada donde tengan que ingresar los dígitos, etc.

El único método que puedo pensar que no use este sistema sería una pregunta de seguridad. Los bancos a menudo los utilizan para una verificación adicional cuando los usuarios inician sesión o no inician sesión correctamente varias veces. A veces también se utilizan como un código "secreto" para recuperar una contraseña, pero incluso así, generalmente se envía por correo electrónico al usuario, no se muestra en la página.

Punt sobre el problema de la contraseña. Cambiar a OpenID. No tiene que preocuparse por el restablecimiento de la contraseña, y el usuario solo necesita una nueva contraseña si lo desea.

es un ganar-ganar

Sin enviar un correo electrónico, se está limitando significativamente. Uno de los beneficios de enviar un código de restablecimiento de contraseña o una nueva contraseña a la dirección de correo electrónico de alguien es que puede confiar en la suposición de que es la única persona con acceso a su cuenta de correo electrónico.

Dicho esto, podría usar un esquema de "Pregunta secreta" para permitir que alguien restablezca su contraseña. Cuando esta persona crea su cuenta, debe capturar su pregunta secreta y la respuesta. A continuación, le pedirá al usuario que haga esta pregunta, y solo permitirá el restablecimiento si responde correctamente.

Debo advertirle que este no es un buen método para proteger su contraseña del acceso no autorizado. Para leer un buen artículo, consulte: http://www.schneier.com/blog/archives/2005/02/the_curse_of_th.html