Actualmente utilizamos 5 preguntas de seguridad, pero el equipo de Operaciones nos pregunta si podríamos bajar a 3.
Con eso, ¿cuál es la mejor práctica para este? ¿Cuántas preguntas de seguridad se deben hacer?
Si marca OWASP , hay algunos recursos para tratar y ayudar.
Pero su punto básico (que he escuchado varias veces en otros lugares, pero no puedo encontrar un enlace) es que las preguntas de seguridad generalmente no son un gran enfoque. Sin embargo, sí dicen
una buena práctica podría ser exigir al usuario que seleccione 1 o 2 preguntas de un conjunto de preguntas enlatadas, así como crear (una diferente) una propia y luego solicitar que respondan a una de sus preguntas enlatadas seleccionadas también. como su propia pregunta
Creo, pero de nuevo, no puedo confirmar, que el hecho de poder restablecer la contraseña y tener un enlace temporal enviado a una dirección de correo electrónico previamente validada es el método preferido.
Lea otras preguntas en las etiquetas defense reference-request