Question

Если ваш веб-сайт предоставляет метод аутентификации только OpenId (например, SO), что было бы наилучшим способом для обработки пользователя, чья учетная запись openId потеряна или украдена, или чего-либо еще ... эффективно мешающего им использовать ваш сайт.

Если пользователь связал два открытых идентификатора со своей учетной записью, он мог бы использовать другой логин и т. Д., Но в случае, если у него их нет, он больше не сможет использовать ваш сайт.

Если пользователь подтвердит свою учетную запись для ручного изменения идентификатора, это просто откроет ваш процесс для социальной инженерии (суть проблемы, я думаю!)

keturn · Answer 1 · 27 января 2010

Ответ на этот вопрос такой же, как «Что если я потеряю свой пароль» для сайтов с аутентификацией паролей или «Что если я не могу получить доступ к своей учетной записи электронной почты» для сайтов, которые отправляют напоминания пароля по электронной почте. Наиболее распространенным подходом, похоже, является «вопрос безопасности», который на самом деле является просто другим (часто менее безопасным) паролем. Другая - это «техническая поддержка по контактам», которая, да, уязвима для социальной инженерии.

Самое надежное решение, о котором я слышал, - это какая-то система «два из трех», где пользователь может сказать «о, я потерял свой OTP-токен, но у меня все еще есть телефон и пароль», но если серьезно, то достаточно боли, что только специализированные поставщики захотят внедрить и поддерживать ее.

как обрабатывать связанные открытые учетные записи заблокированы, украдены и т. д.

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

как обрабатывать связанные открытые учетные записи заблокированы, украдены и т. д.

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов