系统应如何解锁帐户?

时间:2012-02-02 06:37:50

标签: c# asp.net login password-recovery

在系统中的用户帐户因密码尝试失败或密码接听尝试失败而被锁定后,无论如何都是有趣的标题。解锁过程应该如何开始。下面3中的哪一个会存入,为什么?目前关注 1 且用户有时讨厌 :(

  1. 用户必须要求password reset作为出路。
  2. 用户可以向unlock account link发送电子邮件 - 使用旧密码成功登录后(但主要是因为无法登录doh而登陆此处)
  3. 我会留下这个选项给你建议。
  4. 以上可能是我根据专家得到的最愚蠢的选择,但我在这里学习。所以告诉我正确的道路。谢谢你

3 个答案:

答案 0 :(得分:2)

这实际上取决于系统。

强制重置密码不是一个好主意。想想恶意用户的情况,我只需尝试登录您的帐户,锁定您,然后您必须重置才能进入。

我看到的最常见的情况是ASP.NET默认处理它的方式。您尝试登录X,然后您的帐户被锁定Y段。

所以给他们10次尝试,然后锁定帐户10,20,30分钟让他们回来。

答案 1 :(得分:0)

与数字2类似,您允许用户请求电子邮件解锁帐户,但不需要密码。您依靠他们知道他们的电子邮件地址的密码是为了安全,而不是依赖他们知道他们的帐户的密码(正如您所说,通常不知道)。

答案 2 :(得分:0)

我认为这取决于商业案例。

是否只能通过内部网访问业务应用程序,也可以通过https访问Internet。 在这种情况下,我希望超时,直到您的用户可以再次登录。我认为管理员的日志条目或/和消息不是最好的主意。

或者是否可以通过互联网访问用户未知的消费者应用程序?在那种情况下,我更喜欢这封电子邮件。