Se me ha pedido que agregue una función a un sitio web para requerir un pin para los usuarios. El sitio actualmente utiliza nombre de usuario y contraseña. Si un usuario desea cambiar su contraseña, debe proporcionar la contraseña actual O utilizar una función de "recordatorio de contraseña" que envíe un token de inicio de sesión único a su dirección de correo electrónico.
Hay una solicitud para agregar un código pin numérico (al menos 4 dígitos) para que el usuario se autentique con el nombre de usuario + contraseña + código pin. Tendríamos que agregar el código PIN en el formulario de administración de la cuenta y, supongo, permitir que los usuarios cambien el PIN si pueden recordar su PIN anterior O si utilizan la función de inicio de sesión único.
Tres preguntas:
- ¿Esto realmente ayuda a la seguridad de alguna manera?
- ¿Es más efectivo si el pin está en la pantalla de inicio de sesión principal o en una segunda página en varios pasos?
- Si podemos imponer fácilmente una política de contraseña (que requiera un dígito, un carácter especial, etc.), ¿es eso más o menos útil?
Estoy interesado en muchas perspectivas aquí y elegiré una respuesta que presente ventajas y desventajas a estas estrategias.