我正在为面向大学的网站设计一个网站,并且在设计“忘记登录”序列背后的业务逻辑时遇到了一些麻烦.
用户通过他们的大学电子邮件进行注册,因此,如果他们忘记了密码,可以将其通过电子邮件发送到他们的大学电子邮件中.但是问题是,当用户不再有此电子邮件并尝试登录时,他们可以在大学毕业后返回.如果他们忘记了密码,将无法通过电子邮件发送,因为他们不再拥有此电子邮件.
我的老板希望我实施一个系统,以询问一些识别性问题,例如名字/姓氏,出生日期和“收藏夹”问题,他们会在首次登录时回答.这对我来说确实很糟糕,因为1)这是“希望如此”的安全性,以及2)该网站拥有非常个人的信息
有人对此有任何想法或更好的实现吗?我考虑过的一件事是要求他们提供初次注册时的辅助电子邮件,但我想知道那里还有什么.我是否也愿意屈服于所需的安全性实施?
谢谢
解决方法:
即使您获得了第二个电子邮件地址,也可能会发现离开大学后就忘记或更改它的用户.
您说您在应用程序中存储了非常个人的信息.您应该利用它来发挥自己的优势.您可以要求用户提供2或3条个人信息,并根据您系统中的信息进行验证.
结合安全性问题,应该可以为您提供足够的安全性.
另外,在将用户锁定一段时间之前,请确保限制尝试次数.您不希望人们尝试猜测识别性问题的答案.
我希望这有帮助.祝好运!