2012-02-02 81 views
0

無論如何,由於密碼嘗試失敗或密碼應答失敗,系統中的用戶帳戶被鎖定,所以無論如何都是有趣的標題解鎖過程應該如何開始。下面3個哪一個可以存儲?爲什麼?目前以下和用戶仇恨系統有時:(系統應該如何解鎖帳戶?

  1. 用戶有要求password reset作爲唯一的出路。
  2. 用戶可以請求電子郵件unlock account link - 他們的舊密碼成功登錄後(但主要是他們在這裏降落,因爲他們無法登錄DOH)
  3. 我將離開這個選項,供您建議。

以上可能是根據專家得到的最愚蠢的選擇,但我在這裏學習。所以讓我看看正確的道路。謝謝SO

回答

2

這實際上取決於系統。

強制密碼重置雖然不是一個好主意。想想一個惡意用戶的情況,我可以簡單地嘗試登錄到你的帳戶,鎖定你,然後你必須重置進入。

我看到的最常見的情況是類似於ASP.NET默認處理它。您嘗試登錄X次,然後您的帳戶在Y時間段內被鎖定。

所以給他們10次嘗試,然後鎖定帳戶10,20,30分鐘,讓他們回來。

+0

所以一個Windows服務將輪詢服務器的鎖定時間將在給定的實例過期的帳戶? **民意調查**是我現在害怕的名詞。 – Deeptechtons 2012-02-02 06:46:56

+2

@Deeptechtons:無需輪詢,只需在賬戶被鎖定時保存,直到他們嘗試登錄到鎖定的賬戶,如果它成功,如果他們超過了鎖定期滿時重置。 – 2012-02-02 07:01:48

0

與數字2類似,您允許用戶請求解鎖帳戶的電子郵件,但不需要密碼。你依靠他們知道他們的電子郵件地址的密碼是爲了安全,而不是依靠他們知道他們的帳戶的密碼(正如你所說,這通常是未知的)。

+0

你的意思是#1,因爲你的答案模型。但我的用戶不喜歡經常更改密碼。 – Deeptechtons 2012-02-02 06:44:24

0

我認爲這取決於商業案例。

這是一個商業應用程序,只能通過內部網訪問,也可以通過互聯網與https。 在這種情況下,我寧願超時,直到用戶可以再次登錄。我認爲管理員的日誌條目或/和消息不會是最溫和的主意。

或者它是一個消費者應用程序可通過互聯網訪問,其中用戶是未知的?在這種情況下,我寧願電子郵件。