我正在为一个面向大学的网站设计一个网站,并且在设计“忘记登录”序列背后的业务逻辑时遇到一些麻烦
用户通过他们的大学电子邮件注册,因此如果他们忘记了密码,他们可以通过电子邮件将其发送到他们的大学电然而,问题是用户可以在大学毕业后不再拥有此电子邮件并尝试登录时返回。如果他们忘记了密码,则无法通过电子邮件发送,因为他们不再收到此电子邮件。
我的老板要我实施一个系统来询问一些识别问题,例如姓/名,dob和他们在初次登录时回答的“最喜欢的”问题。这对我来说真的很糟糕,因为1)这是“希望它”的安全性和2)网站拥有极其个人的信息
有没有人对此有任何想法或更好的实施?我考虑过的一件事就是要求他们在初次注册时提供辅助电子邮件,但我想知道还有什么其他的。我是否准确地对所需的安全实施感到畏缩?
感谢
答案 0 :(得分:2)
即使您获得了第二个电子邮件地址,您也可能会发现自从他们离开大学以来已经忘记或更改过的用户。
您说您在申请中存储了非常个人的信息。你应该利用它来发挥你的优势。您可以要求用户提供2或3条个人信息,并根据您系统中的内容进行验证。
这与安全问题一起应该给你足够的安全性。
此外,请确保在锁定用户一段时间之前限制尝试次数。你不希望人们试图猜出识别问题的答案。
我希望这会有所帮助。祝你好运!
答案 1 :(得分:2)
此外,为您即将离开学校的人发送电子邮件提醒对您有利。如果您正在收集信息,请询问您的用户何时期望毕业,并在该学年结束时向他们发送友好的电子邮件。 (如果您将电子邮件设置为在打开时标记已发送的项目,也会验证其电子邮件。)