2012-02-02 3 views
0

어쨌든 시스템의 사용자 계정이 암호 시도 실패 또는 암호 응답 실패로 인해 잠긴 경우 어떻게해야합니까? 잠금 해제 프로세스가 어떻게 시작되어야합니까? 아래 3 개 중 무엇을 왜 은행에 맡기시겠습니까? 현재 1을 다음과 사용자가 시스템 몇 번 :(시스템에서 계정 잠금을 해제하려면 어떻게해야합니까?

  1. 사용자가 싫어하는 등 유일한 방법은 밖으로 password reset을 요청해야합니다.
  2. 사용자가 이메일을 요청할 수 있습니다. unlock account link - 이전 비밀번호로 로그인 한 후 (주로 doh에 로그인 할 수 없어 주로 착륙했습니다.)
  3. 나는이 옵션을 남겨 두었습니다.

위의 내용은 내가 전문가에 따라 얻었지만 나는 배울 수있는 멍청한 옵션 일 수 있습니다. 그래서 나에게 올바른 길을 보여줘. 고마워요 SO

답변

2

이것은 실제로 시스템에 의존 할 것입니다.

비밀번호 재설정을 강요하는 것은 좋은 생각이 아닙니다. 악의적 인 사용자가있는 상황을 생각하면 계정에 로그인하고 잠금을 해제 한 다음 들어가기 위해 재설정해야합니다.

내가 보는 가장 일반적인 시나리오는 ASP.NET은 기본적으로이를 처리합니다. 로그인 시도가 X 번 발생하면 계정이 Y 기간 동안 잠겨집니다.

그래서 다음 10, 20, 30 분 동안 계정을 잠그고 다시들을 수 있습니다.

+0

그러면 Windows 서비스는 지정된 인스턴스에서 잠금 시간이 만료되는 계정에 대해 서버를 폴링합니다. ** 설문 조사 **는 지금 두려워하는 용어입니다. – Deeptechtons

+2

@Deptechtons : 폴링 할 필요가 없습니다. 잠긴 계정에 로그인하려고 할 때까지 계정이 잠길 때까지 저장하십시오. 성공한 경우 잠금 만기일을 지나면 재설정됩니다. –

0

숫자 2와 마찬가지로 사용자가 계정 잠금을 해제하도록 이메일을 요청할 수는 있지만 비밀번호는 필요하지 않습니다. 귀하는 자신의 계정에 암호를 알리는 것에 의존하지 않고 보안을 위해 자신의 전자 메일 주소에 대한 암호를 알고있는 것에 의존하고 있습니다.

+0

귀하의 답변이 모델이되기 때문에 # 1을 의미합니다. 하지만 내 사용자는 자신의 암호를 자주 변경하는 것을 싫어합니다. – Deeptechtons

0

을 나는 그것이 비즈니스 사례에 따라 생각, 그들에게 10 개 시도를 제공합니다.

인트라넷을 통해서만 액세스 할 수있는 비즈니스 응용 프로그램입니까, 아니면 https가있는 인터넷을 통해서 가능할 수도 있습니다. 그런 경우 사용자가 다시 로그인 할 때까지 시간 초과를 선호합니다. 나는 로그 엔트리 또는/그리고 관리자를위한 메시지가 가장 나쁜 생각이 아닐 것이라고 생각한다.

또는 사용자가 알 수없는 인터넷을 통해 액세스 할 수있는 가전 응용 프로그램입니까? 이 경우 이메일을 선호합니다.

관련 문제