Công ty của tôi đang phát triển một ứng dụng Nhân sự và Biên chế trực tuyến, nơi đảm bảo quyền truy cập là rất quan trọng. Tôi rõ ràng về cách khóa hầu hết các quy trình xác thực/ủy quyền, ngoại trừ trang 'Quên mật khẩu'.Tại sao cách tiếp cận thách thức-phản ứng lại là giải pháp kém cho mật khẩu bị quên?
Kế hoạch ban đầu của tôi là yêu cầu người dùng nhập cả địa chỉ email và câu trả lời cho câu hỏi thách thức đã chọn/nhập trước đó, với mật khẩu tạm thời được gửi tới e-mail được liệt kê (giả định e-mail là hợp lệ). Nhưng tôi đã đọc here và here (cả trên SO) rằng cách tiếp cận thách thức-phản ứng là không an toàn.
Nếu chúng tôi chỉ gửi thư điện tử mật khẩu tạm thời, có thực sự không an toàn không? Lựa chọn duy nhất an toàn hơn tôi có thể nghĩ đến là yêu cầu người dùng gọi cho Đại diện dịch vụ khách hàng của họ, điều này sẽ gây khó khăn cho nhân viên của chúng tôi.
Tôi đang thiếu gì ... có cách tiếp cận tốt hơn không? Cảm ơn!
+1 vì đây là vấn đề nghiêm trọng được xử lý rất nhiều bởi nhiều trang web. Tôi sẽ cung cấp cho bạn 10 nếu tôi có thể. –