Я работаю над веб-приложениями, в которых - хотите верьте, хотите нет - пользователям не требуется указывать свой адрес электронной почты для регистрации. Эти требования не могут измениться. Пользователи будут входить в систему с идентификатором и паролем, как любой стандартный веб-сайт. Проблема, с которой я столкнулся, связана с пользователем, который забыл свой пароль. Когда они хотят создать новый, как мне подтвердить их личность?
Изначально я собирался заставить пользователей выбрать секретный вопрос (из списка 5) и дать ответ. Если они когда-либо заходили на страницу с забытым паролем, им пришлось бы ввести свой логин, а также ответ на секретный вопрос. Это кажется немного ненадежным, поскольку ответы на такие вопросы (девичья фамилия матери, город рождения и т. Д.), Как правило, не так сложно получить.
Итак, вот некоторые из моих вопросов:
- Контрольные вопросы - лучший способ решить эту проблему?
- Если да, то какие вопросы лучше всего?
- На сколько вопросов пользователь должен будет ввести ответы?
- Обязательно ли ставить CAPTCHA на страницу с забытым паролем?
- Не лучше ли пользователям создавать собственные вопросы?
Будем признательны за любую помощь / комментарии / литературу по этому поводу.