security - 进行密码检索/重置的安全方法？

Question

在开始之前，我不使用 OAuth 的原因我相信这并不是我们真正应该在这个项目中使用的东西，我们的目标是一个将被打包并转售给公司的平台，这些公司连接到他们自己的一组用途，我们真的不希望拥有这样的帐户我们无法控制 %100，我们不希望它与其他服务共享登录，我们也不希望强制人们获得 google/yahoo/openID/aol/facebook/blogger/wordpress/任何帐户。

那么，我想要的是让用户重新设置密码的最佳方式。

我讨厌 secret 问题的概念:你去了哪所学校？好吧，让我们检查一下你的 Facebook 页面。你一年级的老师是什么？随便问问吧。

我讨厌通过电子邮件使用一次性密码:电子邮件从什么时候开始安全了？你的老板会读它。你每天都向我发送垃圾邮件。它进入了你的垃圾箱。它没有加密发送。

我也不想使用密码来重置密码。这根本没有意义。

我真的不知道最好的方法，所以我想我会询问社区。

Answer 1

你的问题是你需要外包信任。如果用户忘记了密码，您将不再有直接的方式来信任他们，因此您必须使用外部来源来重新建立您的关系。

如果您认为电子邮件不安全(实际上确实如此)，您可以尝试电话。给他们打电话并提供临时密码。或者传真。或普通邮件、短信等。

这与重置所经过的电话线/邮政运营商一样安全，并且在大多数地区，电话拦截或篡改邮件都会受到法律的严格惩罚。

如果这不好，请考虑向用户颁发 OTP token 、智能卡或其他东西。