我正在设计一个多因素登录。如果用户在我的网站上输入他们的登录名并提交它,我将使用临时代码对其进行文本处理。一旦他们提交了这个,我们将创建一个会话ID并完成登录过程。是否让用户在此过程中输入密码?这是最佳做法吗?
答案 0 :(得分:1)
是的,需要密码。如上所述,用户永远不必输入他们的密码。这实际上只是单因素身份验证。 MFA通常是您所知道的(密码)加上您拥有的东西(电话,指纹,手几何等)。在你的设计中,有人可以窃取用户的电话然后他们可以通过登录,假设他们知道他们的目标用户名。
还有一个恼人的副作用,如果我知道某人的登录信息,我可以通过短信向您发送垃圾邮件。
最佳做法是让用户使用用户名+密码登录,一旦他们过去,您就会询问他们是否要发送短信。
答案 1 :(得分:0)