¿Es posible validar una nueva cuenta de usuario / restablecer la contraseña sin enviar un correo electrónico o número de teléfono?

Navega tus respuestas
0

Estoy interesado en crear un mecanismo de inicio de sesión que cree un usuario y valide su cuenta, sin utilizar ninguno de sus detalles, como correo electrónico, número de teléfono, etc.

Esto es lo que puedo pensar:

  • Permitir al usuario registrarse desde un sitio web. Esto utiliza su navegador
  • Haz que descarguen una aplicación en su teléfono / escritorio
  • Luego inician sesión con el nombre de usuario y la contraseña definidos en el paso 1
  • En la aplicación, hacen clic en un botón para verificar su cuenta.

Algunos problemas que se me ocurren

  • Si, en su lugar, utiliza la versión de escritorio, podrían crear un bot de auto clic / tipo para validar
  • Es posible que el usuario haya olvidado su nombre de usuario / contraseña y haya cerrado la sesión en su aplicación de teléfono / escritorio, lo que significa que no tienen forma de restablecer su cuenta

Para solucionar el problema del restablecimiento de la contraseña, podría usar la aplicación de autenticación de Google para crear un código de una sola vez. El problema con esto es si el usuario no tiene acceso a su teléfono

¿Sería este un método viable para crear un servicio basado en web / aplicación sin recopilar la información personal de los usuarios? Si no es así, ¿hay otras ideas o esto no es realmente posible?

Si esto no es necesario para validar a los usuarios, esto funcionaría asegurando una cuenta (mediante la aplicación del teléfono)

    
pregunta iProgram 16.12.2016 - 19:27
fuente

4 respuestas

1

Si el enfoque de la solución está en un mecanismo para autenticar a un usuario sin recopilar información personal (como la identificación del correo electrónico), usar un mecanismo de autenticación delegado es una forma de proceder. Por ejemplo, OpenID podría utilizarse para aprovechar un servidor de autenticación externo para nuestras necesidades de autenticación. De esta manera, no tenemos que almacenar ninguna información personal del usuario. Puede encontrar más información aquí .

Ahora, si el objetivo es implementar un mecanismo de autenticación, y no desea utilizar ningún canal de recuperación (como correo electrónico o número de teléfono), entonces es un factor múltiple ( La opción MFA) es el camino a seguir: Google Authenticator, enviando un mensaje push a la aplicación de su teléfono, etc. MFA para una solución de escritorio podría lograrse a través de un 'token de software'. Hay algunos proveedores conocidos, como Entrust o AuthAnvil .

    
respondido por el katrix 16.12.2016 - 21:40
fuente
0

El correo electrónico o número de teléfono es principalmente una seguridad en caso de que el usuario olvide su contraseña. ¿Cómo puedes identificar si el tipo que dice que ha olvidado su contraseña es el verdadero propietario o un pirata si no tienes segunda forma para unirte al usuario original? Las preguntas secretas han demostrado ser irreversibles para el usuario o pueden suponer que alguien lo conozca. Por ejemplo, se utilizaron para obtener acceso al correo electrónico de Sarah Palin durante la campaña de 2012 simplemente porque las respuestas se podían encontrar en Internet ...

    
respondido por el Serge Ballesta 16.12.2016 - 19:48
fuente
0

Una opción para restablecer la contraseña sin un correo electrónico o número de teléfono del usuario puede proporcionarle al usuario una OTP para restablecer su contraseña generada en la creación de la cuenta, similar a las que se dan en los correos electrónicos de restablecimiento de contraseña. Un código suficientemente largo con una buena aleatoriedad que haga que sea imposible de adivinar, los cambios una vez que se usen y los tokens previamente utilizados no sean aceptados puede satisfacer su requisito

Esta solución tiene dos problemas principales:

  • No resuelve el problema cuando se olvida el nombre de usuario
  • Tiene el mismo problema que las OTP no caducadas para los restablecimientos de contraseñas que se envían a través del correo electrónico, si un atacante puede comprometer la computadora de los usuarios o recibir el token por otros significados, entonces el usuario es suplantado. Y en este caso nunca recuperará su cuenta, ya que no tiene otra forma de cambiar la contraseña

Si su requisito de privacidad es lo suficientemente prioritario para aceptar estos problemas, puede ser una forma de hacerlo

    
respondido por el Mr. E 16.12.2016 - 23:03
fuente
0

Hemos implementado una solución de restablecimiento de contraseña que ayuda a restablecer la contraseña sin ninguna conectividad de red. Aquí solo estoy compartiendo la idea, no la lógica exacta, ya que está protegida por IP.

La solución consiste en un servidor de restablecimiento de contraseña y una aplicación de cliente móvil. Después de descargar la aplicación en el teléfono inteligente, el usuario se registró en el servidor de restablecimiento de contraseña y crea un secreto compartido. La aplicación cliente se personaliza con los secretos compartidos y esta actividad única.

Uno, el sitio web o cualquier otra página de inicio de sesión, cuando el usuario hace clic en el enlace Olvidé mi contraseña , se llama a la API para restablecer la contraseña. El servidor responde con un mensaje cifrado en forma de código QR, que solo puede ser descifrado correctamente por la aplicación personalizada del cliente. La lógica de descifrado se escribe dentro de la aplicación cliente que se calcula localmente, por lo que no se requiere conectividad de red. Este texto descifrado se utiliza como OTP durante el restablecimiento de la contraseña.

El secreto compartido desempeña el papel clave aquí para cifrar la OTP en el servidor y descifrar con éxito en el cliente el dispositivo.

El mismo concepto también se puede ampliar para verificar la cuenta. Ahora el desafío es decidir la lógica que puede depender del diseño de la aplicación o la organización.

    
respondido por el roguesecurity 15.02.2017 - 05:33
fuente

Lea otras preguntas en las etiquetas

reglas de IPtables para evitar la falsificación de IP ¿Por qué el syscall se bloqueará durante 1 minuto cuando el subsistema de auditoría de Linux alcance el límite de acumulación por primera vez?