Yo manejo el proceso de restablecimiento de contraseñas en la institución donde trabajo. Actualmente, requerimos que los usuarios inventen preguntas y respuestas (tres como mínimo y cinco como máximo); Las preguntas no pueden repetirse, ni tampoco las respuestas. Cuando olvidan su contraseña, les pedimos que se identifiquen con información conocida (fecha de nacimiento e identificación de la institución) y luego les presenten una de sus preguntas. Este mecanismo nos está causando un final sin dolor de cabeza, y me gustaría reemplazarlo. He leído al menos una couple respuestas Aquí me gusta, pero quisiera algunas reflexiones sobre el siguiente esquema:
- El usuario debe proporcionar una dirección de correo electrónico de recuperación
- El usuario olvida su contraseña y va a restablecerla. Les presentamos con una versión confusa de la dirección de correo electrónico que proporcionaron y al menos Dos más en función de su dirección de recuperación, solo a diferentes proveedores, y haz que elijan el correcto
- Les enviamos un enlace de restablecimiento a la dirección correcta si lo seleccionaron o simplemente les decimos que les enviamos un enlace de reinicio si eligieron el uno equivocado
- Cuando hacen clic en el enlace, deben rellenar un captcha, o un Código que se incluyó en el correo electrónico, además de sus nuevos contraseña
Cuando obtengamos la capacidad, me gustaría ofrecer SMS o una aplicación de autenticación en lugar de / además del correo electrónico.
¿Esto parece suficientemente "seguro"?