Security 如何处理相关的开放id帐户被阻止、被盗等
如果您的网站提供的是仅限OpenId的身份验证方法(例如SO),那么处理其OpenId帐户丢失或被盗的用户的最佳做法是什么……有效阻止他们使用您的网站 如果用户将两个开放ID关联到他们的帐户,那么他们可以使用其他登录名等,但是如果他们没有,他们就不能再使用您的站点Security 如何处理相关的开放id帐户被阻止、被盗等,security,authentication,openid,Security,Authentication,Openid,如果您的网站提供的是仅限OpenId的身份验证方法(例如SO),那么处理其OpenId帐户丢失或被盗的用户的最佳做法是什么……有效阻止他们使用您的网站 如果用户将两个开放ID关联到他们的帐户,那么他们可以使用其他登录名等,但是如果他们没有,他们就不能再使用您的站点 让用户为手动开放id更改验证其帐户只会将您的过程打开到社会工程(我想这是问题的核心!)对于密码验证网站,答案与“如果我丢失了密码怎么办”相同;对于通过电子邮件发送密码提醒的网站,答案与“如果我无法访问我的电子邮件帐户怎么办”相同。最常
让用户为手动开放id更改验证其帐户只会将您的过程打开到社会工程(我想这是问题的核心!)对于密码验证网站,答案与“如果我丢失了密码怎么办”相同;对于通过电子邮件发送密码提醒的网站,答案与“如果我无法访问我的电子邮件帐户怎么办”相同。最常见的方法似乎是“安全问题”,这实际上只是另一个(通常不太安全)密码。另一个是“联系技术支持”,是的,它很容易受到社会工程的影响
我听到过的最可靠的解决方案是某种三取二的系统,用户可以说“哦,我丢了OTP令牌,但我仍然有我的手机和密码”,但说真的,这已经够痛苦的了,只有专业提供商才会想实施和维护它。感谢您的回答……您是对的,这就像用户忘记了密码一样,你把它放在一个有意义的角度…我想这确实是一个用户必须解决的问题…想必openId帐户对他们来说比使用openId的网站更重要…相关问题