我正在为一个面向大学的网站设计一个网站,在设计"忘记登录"序列背后的业务逻辑时遇到了一些麻烦。
用户是通过他们的大学邮箱注册的,所以如果他们忘记了密码,他们可以通过电子邮件将密码发送到他们的大学邮箱。然而,问题是用户可以在大学毕业后返回,当他们不再有这个电子邮件,并试图登录。如果他们忘记了密码,就无法通过电子邮件发送,因为他们不再拥有这个电子邮件。
我的老板希望我实现一个系统,询问一些识别问题,如姓/名、工作和"最喜欢的"问题,他们在首次登录时回答。这对我来说似乎真的很糟糕,因为1)这是"希望它是"的安全,2)该网站持有非常个人的信息
有人对此有任何想法或更好的实现吗?我考虑过的一件事是让他们在首次注册时发送第二封电子邮件,但我想知道还有什么办法。此外,我对期望的安全实现感到畏缩是否准确?
由于
即使你获得了第二个电子邮件地址,你可能会发现用户在离开大学后忘记了它或更改了它。
你说你在应用程序中存储了非常私人的信息。你应该好好利用它。您可以要求用户提供2或3条个人信息,并与您系统中的信息进行验证。
这个和安全问题结合在一起应该给你足够的安全性。
另外,请确保在将用户锁定一段时间之前限制尝试次数。你不希望人们试图猜测识别问题的答案。
我希望这对你有帮助。好运!
另外,给即将离校的人发送电子邮件提醒对你有好处。如果你在收集信息,问问你的用户他们预计什么时候毕业,并在学年结束时给他们发一封友好的电子邮件。(这也验证他们的电子邮件,如果你设置你的电子邮件标记发送的项目时打开)