¿Olvidó su nombre de usuario / correo electrónico - ¿Las credenciales adicionales son lo suficientemente iguales para iniciar sesión en el usuario?

5

Estoy trabajando con otro usuario de UX y él me avisó que se han realizado algunos estudios sobre el hecho de que cuando una persona pasa por un proceso de "olvidó su nombre de usuario / correo electrónico", ingresa información adicional y esta información adicional debería será suficiente para que un usuario pueda iniciar sesión sin tener que ingresar una contraseña.

En nuestro caso, el usuario tiene dos opciones: ingresar su número de teléfono, apellido y fecha de nacimiento, luego recibir un mensaje de texto (o llamar) para confirmar; O pueden ingresar el número de seguridad social, apellido y fecha de nacimiento.

El siguiente paso es responder a su pregunta de seguridad (1/3 de las preguntas). Si responden a esta pregunta correctamente, pasan a un estado de inicio de sesión en su cuenta. No se requiere contraseña.

¿Es esta práctica común en estos días? ¿Sigue siendo relevante para una compañía financiera? ¿Puede un usuario seguir haciendo esto como otra opción para iniciar sesión?

Tengo la sensación de que toda la información necesaria para iniciar sesión se puede encontrar en el correo electrónico del usuario. Supongamos que su dirección de correo electrónico ha sido pirateada ... También requerimos la misma información para la contraseña olvidada, aunque la contraseña es algo que los usuarios hacen de forma secreta. Todo lo demás se puede encontrar de manera bastante pública, a menos que no respondan las preguntas de seguridad adecuadamente a propósito (como lo hago yo)

EDITAR: Mi sugerencia: Creo que para recuperar información, una persona debería tener algo que solo ellos saben (que no está escrito en NINGÚN LUGAR), información de seguridad (suponiendo que la hayan utilizado para inscribirse [SSN, DOB]) y una información física (en este caso, un número de tarjeta de débito / crédito que posean físicamente). Esta parece ser la forma más segura de ingresar a una cuenta. pensamientos?

    
pregunta ntgCleaner 07.04.2015 - 16:52
fuente

1 respuesta

3

No, no haga un restablecimiento de contraseña basado en cualquier cosa enviada en un formulario. Debe determinar la identidad de los usuarios a través de un método además de su propio sitio web. Ya sea a través de la autenticación de dos factores (generalmente teléfono) o a través de una dirección de correo electrónico conocida. El peligro aquí es forzar, adivinar o robar los datos necesarios para restablecer la contraseña. Sí, a menudo es bastante posible adquirir maliciosamente el número de teléfono, red y número de usuario de un usuario. Robar su teléfono o comprometer su correo electrónico suele ser mucho, mucho más difícil. Además, tenga mucho cuidado al almacenar o preguntar a los usuarios ssn: esto puede ser traicionero, especialmente si un atacante maneja a un hombre en el medio o un ataque de inyección de SQL.

Mantener la autenticación de correo electrónico o la autenticación de dos factores para restablecer la contraseña.

    
respondido por el baordog 07.04.2015 - 18:17
fuente

Lea otras preguntas en las etiquetas