Я работаю над веб-приложениями, где - верьте или нет - пользователям не требуется указывать свой адрес электронной почты для регистрации. Эти требования не могут измениться. Пользователи войдут в систему с идентификатором и паролем, как и любой стандартный веб-сайт. Проблема, с которой я сталкиваюсь, связана с тем, что пользователь забыл свой пароль. Когда они хотят создать новый, как я могу проверить их личность?Рекомендации по безопасности в веб-приложениях
Первоначально я собирался заставить пользователей выбрать секретный вопрос (из списка 5) и дать ответ. Если они когда-либо вошли на страницу «Забыли пароль», они должны были бы ввести свой идентификатор входа в систему, а также ответ на их вопрос безопасности. Это кажется немного неуверенным, так как ответ на эти типы вопросов (девичья фамилия матери, город рождения и т. Д.), Как правило, не так сложно приобрести.
Так вот некоторые из моих вопросов:
- Есть вопросы безопасности лучший подход к этой проблеме?
- Если да, то какие у вас лучшие вопросы?
- Сколько вопросов должно потребоваться пользователю для ввода ответов?
- Нужно ли помещать CAPTCHA на страницу Забыли пароль?
- Лучше ли пользователям создавать собственные вопросы?
Любая помощь/комментарии/литература по этому вопросу были бы весьма полезными.