允许用户重置密码的最安全方法是什么

Question

允许网站用户重设密码的最安全方法是什么？我知道您可以向他们的电子邮件发送一个独特的 url，但是人们还使用其他技术吗？假设用户不记得他们当前的密码。

Answer 1

例如

1. 向短信发送一些代码（你有的东西 - 电话）
2. 让相关人员确认您的身份（社交网络、信任网络）/您的身份/
3. 通过蜗牛邮件发送代码 /something you are/
4. 现场接线员电话（您知道的）

但其中一些容易受到社会工程攻击。最安全的是当您知道某事并且您拥有某事并且您是某事时。但这很难实现。

Answer 2

推荐的方法是发送一个有限时间哈希的url，它的有效时间为15-30分钟，更改密码时撤销。

如果信息真的很安全，那么您可能想看看银行如何处理密码重置，这通常涉及一个电话和电话银行密码！

Answer 3

在注册过程中总是会询问安全问题。您可以使用它来重置密码。 您也可以阅读 this 较早的帖子。