Сервис восстановления паролей пользователем
Коллеги, такие условия и такая задача:
Есть УТ11 опубликованная на веб-сервере. 100 клиентов подключаются к базе через тонкий клиент или через браузер. Необходим механизм восстановления паролей для пользователей (чтобы пользователь забывший пароль мог восстановить его не обращаясь в ИТ-отдел).
Какие будут идеи?
Есть УТ11 опубликованная на веб-сервере. 100 клиентов подключаются к базе через тонкий клиент или через браузер. Необходим механизм восстановления паролей для пользователей (чтобы пользователь забывший пароль мог восстановить его не обращаясь в ИТ-отдел).
Какие будут идеи?
По теме из базы знаний
Найденные решения
(12)
Да или даже, там же.
Зашел под специальным пользователем - Восстановление пароля.
1.Там форма - введите телефон или емайл.
2.Ввел
3. появлось поле - введите код подтверждения
4.на емайл пришел код подтверждения
5. ввел код подтверждения.
6. появилось поле введите новый пароль.
и автозавершение сеанса.
Далее пользователь входит уже под собой
Либо нужно подтверждение. Типа пришел код подтверждения на телефон или на мыло, он в этой форме его ввел, и только после этого пароль сбросился.
Да или даже, там же.
Зашел под специальным пользователем - Восстановление пароля.
1.Там форма - введите телефон или емайл.
2.Ввел
3. появлось поле - введите код подтверждения
4.на емайл пришел код подтверждения
5. ввел код подтверждения.
6. появилось поле введите новый пароль.
и автозавершение сеанса.
Далее пользователь входит уже под собой
Остальные ответы
Подписаться на ответы
Инфостарт бот
Сортировка:
Древо развёрнутое
Свернуть все
у пользователей добавляем email и контрольный вопрос,
делаем http сервис, публикуем его, он физически крутится от админа или привелигированного пользователя.
там пользователь вводит емайл и контрольный вопрос, - ему на почту приходит ссылка, и к примеру новый пароль, который автоматом присвоится.
При входе в программу, если пароль этот стандартный, то сделать форму - пененазначения пароля уже самим пользователем на свой.
делаем http сервис, публикуем его, он физически крутится от админа или привелигированного пользователя.
там пользователь вводит емайл и контрольный вопрос, - ему на почту приходит ссылка, и к примеру новый пароль, который автоматом присвоится.
При входе в программу, если пароль этот стандартный, то сделать форму - пененазначения пароля уже самим пользователем на свой.
Есть идея создать пользователя без пароля с именем ВосстановлениеПароля с минимальными правами. При авторизации под ним будет открываться форма, куда пользователь может вбить свой почтовый ящик. И если ящик есть в системе - на нее придет пароль. Покритикуйте идею?
(8)
да тоже нормальная идея.
И не нужно с сервисами заморачиваться.
Только я бы, все таки заморочился на функционал конкретной базы - некая галочка "потребовать смену пароля при входе в систему".
Например в бухгалтерии 3.0 такая функция уже есть.
собственно, пароль сбросится на стандартный, пользователь с ним заходит в базу, и меняет пароль уже на свой.
Ну и восстановления пароля по одному e-mail слишком мало. Злоумышленник, сможет позабивать мыло коллег, и насбрасывать им пароли. Даже если они будут генерироваться случайным образом, и воспользоватьеся аккаунтом он не сможет, но пока пользователи поймут что у них пароль сбросился - может подорвать работу.
Я бы, контрольный вопрос сделал, уникальный для каждого пользака.
Либо нужно подтверждение. Типа пришел код подтверждения на телефон или на мыло, он в этой форме его ввел, и только после этого пароль сбросился.
Покритикуйте идею?
да тоже нормальная идея.
И не нужно с сервисами заморачиваться.
Только я бы, все таки заморочился на функционал конкретной базы - некая галочка "потребовать смену пароля при входе в систему".
Например в бухгалтерии 3.0 такая функция уже есть.
собственно, пароль сбросится на стандартный, пользователь с ним заходит в базу, и меняет пароль уже на свой.
Ну и восстановления пароля по одному e-mail слишком мало. Злоумышленник, сможет позабивать мыло коллег, и насбрасывать им пароли. Даже если они будут генерироваться случайным образом, и воспользоватьеся аккаунтом он не сможет, но пока пользователи поймут что у них пароль сбросился - может подорвать работу.
Я бы, контрольный вопрос сделал, уникальный для каждого пользака.
Либо нужно подтверждение. Типа пришел код подтверждения на телефон или на мыло, он в этой форме его ввел, и только после этого пароль сбросился.
(12)
Да или даже, там же.
Зашел под специальным пользователем - Восстановление пароля.
1.Там форма - введите телефон или емайл.
2.Ввел
3. появлось поле - введите код подтверждения
4.на емайл пришел код подтверждения
5. ввел код подтверждения.
6. появилось поле введите новый пароль.
и автозавершение сеанса.
Далее пользователь входит уже под собой
Либо нужно подтверждение. Типа пришел код подтверждения на телефон или на мыло, он в этой форме его ввел, и только после этого пароль сбросился.
Да или даже, там же.
Зашел под специальным пользователем - Восстановление пароля.
1.Там форма - введите телефон или емайл.
2.Ввел
3. появлось поле - введите код подтверждения
4.на емайл пришел код подтверждения
5. ввел код подтверждения.
6. появилось поле введите новый пароль.
и автозавершение сеанса.
Далее пользователь входит уже под собой
Собственно, проблема сводится к вопросу: "Как удаленно идентифицировать физическое лицо?" Все остальное - техническая реализация выбранного способа идентификации.
Поскольку в Интернете нельзя потребовать предъявить паспорт, а всякие там сканеры отпечатка пальца или сетчатки глаза пока что экзотика, то остается немного вариантов идентификации, они тут уже названы: доступ к определенной электронной почте или доступ к телефону с определенным номером.
Учитывая свойство пользователей забывать пароли в том числе и от электронной почты, я бы выбрал телефон, хотя это и сложнее в реализации - надо прикручивать сервис рассылки СМС. Или задействовать современные мессенджеры, которые тоже привязаны к номеру телефона - WhatsApp, Viber и т.д.
Ну, а контрольный вопрос не повредит, но опять-таки, беря во внимание свойства юзеров, считаю, что он должен быть простым и "незабываемым" - дата рождения. Тот, кто ее знает, сможет получить код подтверждения, кто не знает (злоумышленник со стороны) - не сможет напрягать систему.
P.S. И смену паролей я бы не доверил пользователям - налепят тех же дат рождения или вообще "123", лучше пусть пароли генерирует система.
Поскольку в Интернете нельзя потребовать предъявить паспорт, а всякие там сканеры отпечатка пальца или сетчатки глаза пока что экзотика, то остается немного вариантов идентификации, они тут уже названы: доступ к определенной электронной почте или доступ к телефону с определенным номером.
Учитывая свойство пользователей забывать пароли в том числе и от электронной почты, я бы выбрал телефон, хотя это и сложнее в реализации - надо прикручивать сервис рассылки СМС. Или задействовать современные мессенджеры, которые тоже привязаны к номеру телефона - WhatsApp, Viber и т.д.
Ну, а контрольный вопрос не повредит, но опять-таки, беря во внимание свойства юзеров, считаю, что он должен быть простым и "незабываемым" - дата рождения. Тот, кто ее знает, сможет получить код подтверждения, кто не знает (злоумышленник со стороны) - не сможет напрягать систему.
P.S. И смену паролей я бы не доверил пользователям - налепят тех же дат рождения или вообще "123", лучше пусть пароли генерирует система.
(16)
Думаю, что одинаковые для всех пользователей критерии сложности - ошибка: например, для торговых представителей, которые лишь вводят заказы, она может быть снижена.
А вот для тех, у кого полные права и кто может много чего натворить в базе - максимальная сложность.
Впрочем, это уже детали, главное, ИМХО - привязка к телефону, а не к почте.
в платформе вроде есть галка проверять сложность паролей
И вы можете управлять этой сложностью? Можете задавать критерии, по которым она проверяется?
Думаю, что одинаковые для всех пользователей критерии сложности - ошибка: например, для торговых представителей, которые лишь вводят заказы, она может быть снижена.
А вот для тех, у кого полные права и кто может много чего натворить в базе - максимальная сложность.
Впрочем, это уже детали, главное, ИМХО - привязка к телефону, а не к почте.
плохая идея. Любая смена пароля не плановая должна контролироваться безопасниками. ЛЮБАЯ! работая в банке долгое время тоже столкнулся с похожей проблемой. Но после пары походов с начала к безопасникам, потом к нам как к ИТ подразделению с ОБЯЗАТЕЛЬНЫМ уведомлением вышестоящего начальства сотрудника забывшего пароль (кто бы он ни был кстати) людей забывших пароль стало В РАЗЫ меньше. и да, за стикеры с паролями на мониторах-в столах карались сотрудники жестко.
Для получения уведомлений об ответах подключите телеграм бот:
Инфостарт бот