Как система должна разблокировать учетную запись?

Question

Да, смешной заголовок в любом случае после того, как учетная запись пользователя в системе заблокирована из-за неудачных попыток ввода пароля или неудачных попыток ответа с помощью пароля. Как должен начинаться процесс разблокировки. На какой из 3 приведенных ниже вы бы рассчитывали и почему?В настоящее время следующие 1 и пользователи ненавидят систему иногда :(

1. Пользователь должен запросить password reset как единственный выход.
2. Пользователь может запросить электронное письмо на unlock account link - После успешного входа со своим старым паролем (но в основном он приземлился здесь, потому что не смог войти в систему)
3. Я оставлю эту опцию, чтобы вы предложили.

Выше, возможно, самые глупые варианты, которые я получил от экспертов, но я здесь, чтобы учиться.Так покажи мне правильный путь.Спасибо ТАК

Answer 1

Это действительно будет зависеть от системы.

Принудительный сброс пароля, хотя это не очень хорошая идея.Подумайте о ситуации с злонамеренным пользователем, я могу просто попытаться войти в свою учетную запись, заблокировать вас, а затем вам придется выполнить сброс, чтобы войти.

Наиболее распространенный сценарий, который я вижу, это что-то вродеспособ, которым ASP.NET обрабатывает его по умолчанию.Вы получаете X попыток войти в систему, а затем ваша учетная запись блокируется на период времени Y.

Поэтому дайте им 10 попыток, затем заблокируйте учетную запись на 10, 20, 30 минут и дайте им вернуться.

Answer 2

Я думаю, это зависит от бизнес-кейса.

Является ли это бизнес-приложение доступным только через интранет, возможно, также через Интернет с https. В этом случае я бы предпочел тайм-аут, пока ваши пользователи не смогут войти снова. Я думаю, что запись в журнале или / и сообщение для администратора не будет самой лучшей идеей.

Или это потребительское приложение, доступное через интернет, где пользователь неизвестен? В этом случае я бы предпочел электронную почту.

Answer 3

Как и в случае с номером 2, вы разрешаете пользователю запрашивать электронную почту, чтобы разблокировать учетную запись, но не требуется пароль.Вы полагаетесь на то, что они знают пароль для своего адреса электронной почты в целях безопасности, вместо того чтобы полагаться на то, что они знают пароль к своей учетной записи (который, как вы заявляете, часто неизвестен).