我正在开发一个Web应用程序 - 信不信由你 - 用户不需要提供他们的电子邮件地址注册。这些要求不能改变。用户将像任何标准网站一样使用ID和密码登录系统。我面临的问题与忘记密码的用户有关。当他们想要生成一个新的,我如何验证他们的身份?Web应用程序中安全问题的最佳实践
最初,我打算让用户选择一个安全问题(从5的列表中)并提供答案。如果他们进入忘记密码页面,他们将不得不输入他们的登录ID,以及他们的安全问题的答案。这似乎有点不安全,因为这些类型的问题(母亲的娘家姓氏,出生城镇等)的答案通常并不难以获得。
因此,这里是我的一些问题:
- 是安全问题,解决这个问题最好的办法?
- 如果是这样,那么最好的问题是什么?
- 用户需要输入多少个问题才能输入答案?
- 是否需要在忘记密码页面上输入验证码?
- 用户生成自己的问题更好吗?
任何关于此事的帮助/意见/文献将不胜感激。