Security 安全、丢失或忘记密码

首先，我真的不知道这是否是问这个问题的正确地方，如果这个应该被移动，请这样做或让我知道

我正在构建一个手机应用程序（使用phonegap），这是一种银行应用程序，因此，我需要一种真正安全的方法来重置丢失/忘记的密码

我不想使用电子邮件链接或sms代码继续重置部分，因为：

• 电子邮件地址可能已被泄露
• （在我居住的地方）手机可能被盗（最有可能），电子邮件可能会链接到手机，所以短信也毫无意义

因此，经过一点阅读，我想出了下一个想法，在应用程序内部，当用户单击忘记密码时：

• 询问用户注册的电子邮件
• 询问注册时选择了哪个国家、州和城市
• 询问用户在过去3天或7天内是否成功登录（可能越少越好？）
• 询问最后收到的金额（如果有）
• 询问最后发送的金额（如果有）
• 询问上次已知交易的日期（在上次成功登录之前或期间发送或接收）

如果所有这些信息都被证明是正确的，那么让用户设置一个新密码Else只显示一条消息，告诉用户信息中有错误，永远不要指定错误

这是几个问题，但我写这篇文章是因为我刚刚想到了这一点。根据用户使用该应用程序的到期时间，将有更多问题

我的问题：

• 这安全吗
• 这种想法的缺点是什么
• 这是否有效地取代了电子邮件/链接组合或电话/短信

提前谢谢

更新：

• 我不喜欢在注册过程中设置安全问题，因为大多数人都会忘记答案或不小心键入，然后他们就被一个忘记的帐户困住了

• 我不会使用任何银行账户或信用卡/借记卡信息

• 所有操作将立即生效

• 也许我应该只使用与应用程序使用相关的问题

---

此方法在密码恢复过程中相对安全。但是，它对用户不是很友好，用户很可能会被锁定。另一方面，窃贼仍然可以很容易地恢复密码。逐一回答所有问题：

询问用户注册的电子邮件

窃贼偷了一部手机，就有权使用它（很可能）

询问注册时选择了哪个国家、州和城市

如果小偷在用户的电子邮件中搜索，这也很容易检索。即使没有这样的信息显示在那里，知道用户的名字，小偷可以在白页网站或Facebook上查看并获得有价值的信息

询问用户在过去3天或7天内是否成功登录（可能越少越好？）

一个有50%几率的幸运猜测可以让小偷通过这一关。合法用户也可能记不住，这导致了此方法的第一个可用性问题

询问最后收到的金额（如果有）

这是很难记住的，特别是如果这不是经常发生，或一直发生，数量不一。一个知道用户银行账户的窃贼（可能电子邮件中有IBAN之类的信息）也可以向该账户转账一小笔钱并通过此阶段

询问最后发送的金额（如果有）

如果这也涉及交易（使用信用卡支付），小偷可以跟踪合法用户并观察上一次交易中所花的钱。如果没有，这仍然是一个很大的可用性问题，因为用户不太可能记得。小偷还可以检查用户的电子邮件，查看是否有任何在线购买的商品（例如亚马逊发送确认电子邮件），并将其作为金额输入

询问上次已知交易的日期（在上次成功登录之前或期间发送或接收）

同样，对于合法用户来说，这很难记住。特别是在收款方面，可能需要几天的时间，因此，即使用户知道他/她在第X天到期付款，也可能会延迟几天

如果我是你，我会把电子邮件，用户名，用户记得的最后一个密码，和2-5个恢复问题，用户必须在开始设置。我会让用户总共尝试3次，所有这些事件都会被记录下来并通知银行。否则，用户必须联系银行才能进行更改。电话会被记录下来，并要求提供个人信息以及电话银行密码。如果用户再次失败，他/她必须带着某种形式的照片ID去银行

对更新的响应：如果某个应用程序不是每天都在使用（许多用户都使用类似银行的应用程序），那么询问有关应用程序使用的问题可能不是一个好主意

---

关于安全问题，如果您设置了一条消息，警告用户如果忘记了它们，可能会被锁定在帐户之外，可能会说服用户更加小心。也许您可以让用户同时选择问题和答案（只需确保每次的问题和答案都不同，并且长度超过1-2个字符即可）。

谢谢您的时间和答案。是的，我在想也许不是所有的人都会记得这些信息。必须明确的一点是，这与银行无关，不会有与此相关的银行账户或卡，所有操作都将立即生效。嗯，我不喜欢注册时的安全问题，因为大多数人以后都不记得了。这是正确的，他们不记得了，但根据我的经验，更容易记住(