如果您的网站提供OpenId唯一身份验证方法(例如SO),那么处理openId帐户丢失或被盗的用户或其他任何行为的最佳做法是什么?有效阻止他们使用您的网站。
如果用户已将两个开放ID与他们的帐户关联,那么他们可以使用其他登录等,但如果他们没有,则他们将无法再使用您的网站。
让用户证明他的帐户手动开放ID更改只会打开您的流程到社交工程(问题的核心,我猜!)
答案 0 :(得分:1)
对于密码验证网站的“如果我丢失了密码怎么办”,或者对于通过电子邮件发送密码提醒的网站,“如果我无法访问我的电子邮件帐户”,答案与此相同。最常见的方法似乎是“安全问题”,这实际上只是另一个(通常不太安全)的密码。另一个是“联系技术支持”,是的,它很容易受到社会工程的影响。
我听到的最强大的解决方案是某种三分之二的系统,用户可以说“哦,我丢失了我的OTP令牌,但我还有手机和密码短语”,但是严肃地说,这只是一种痛苦,只有专业提供者才会想要实施和维护它。