palabra memorable y respuestas a preguntas de seguridad al restablecer la contraseña?

Debe enviar el enlace (o el código) para restablecer la contraseña a una dirección de correo electrónico (o número de teléfono) predefinida. Esta es la única protección en este escenario.

Las llamadas "preguntas de seguridad" no son "menos seguras", son totalmente inseguras y, si se utilizan incorrectamente, disminuyen la seguridad como se explica aquí ¿Las preguntas de seguridad subvierten las contraseñas? . La única razón para usarlos podría ser evitar que los bots procedan a través de la página de restablecimiento de contraseña.

Con respecto a su segunda pregunta: pedirles a los usuarios que las restablezcan cada vez probablemente aumentará la carga en su mesa de ayuda, porque después de la tercera contraseña + la "pregunta de seguridad", los usuarios pueden comenzar a poner cosas que no pueden recordar fácilmente y buscarán otras formas de contactar a su empresa.

^{Además (sé que está considerando este requisito solo para la opción de "contraseña olvidada"), si requiere que los usuarios realicen un procesamiento manual excesivo al cambiar las contraseñas, puede rechazar más usuarios conscientes de la seguridad que utilizan administradores de contraseñas para actualizar automáticamente sus contraseñas.}

Con respecto a su primera pregunta, probablemente debería hacer que sea una opción o al menos consultar al usuario sobre qué piezas de información han olvidado. Si olvidaron su contraseña pero recuerdan su pregunta de seguridad, entonces no tiene sentido requerir una nueva respuesta de pregunta de seguridad. Si el usuario olvidó ambos, entonces deberá restablecer ambos.

Puede solicitarles ambos datos, pero no requerir respuestas a ambos. Por lo tanto, si un usuario ingresa una nueva contraseña pero no una nueva pregunta de seguridad, solo guardará la nueva contraseña y dejará solo el antiguo registro de preguntas de seguridad. El usuario también podría proporcionar información y, en ese caso, actualizará los registros de usuario de ambos.

Las preguntas de seguridad realmente no funcionan bien con el modelo de reinicio. No puede esperar que elijan una respuesta diferente para la misma pregunta, por lo que también significa cambiar las preguntas. Dependiendo de su sitio, es posible que ya haya un número limitado de preguntas, que el usuario promedio reducirá aún más dependiendo de cuáles puedan responder o querer usar. Por lo tanto, forzar un cambio con cada restablecimiento de contraseña puede hacer que las nuevas respuestas sean aún menos memorables.

Del mismo modo, la 'palabra memorable' es esencialmente otra contraseña. Por lo tanto, si la restablece cada vez que se debe restablecer una contraseña, le está dando al usuario dos nuevos datos para memorizar. Pasa de 'memorable' a 'una palabra aleatoria que me vi obligado a encontrar'.

Para su segunda pregunta, los únicos méritos de seguridad de restablecer la respuesta o la palabra es si un atacante ha obtenido esa información junto con una contraseña válida. Si un usuario se da cuenta de que ha ocurrido este robo, es posible que desee cambiar las contraseñas y las respuestas de seguridad. Puede haber situaciones en las que esto sea cierto, pero no esperaría que la mayoría de los restablecimientos de contraseñas de usuarios estén asociados con este tipo de compromiso.