【TechTarget中国原创】问:对于用户门户网站应用程序而言,一旦用户成功登录,是否应该允许他/她看到当前找回密码的答案?如果该门户采用单点登陆(SSO)系统,这个问题是不是很重要?
答:安全问题及其答案就像用户的ID、密码及其它登录证书一样,依然属于认证证书。因此,它们应该受到和用户ID、密码一样的保护,而与该门户是否采用SSO并不相关。登录就是登录,不管是采用单点认证系统还是采用像SSO那样复杂的系统。
你不会在桌面电脑或者网上泄露密码吧?安全问题和答案可以看做是密码的延伸形式。
这里有一些安全处理密码的规则或者说最佳方案作为参考,这些规则也应该应用到安全问答中。
- 一旦用户回答了问题,答案就应该不再显示。将来,即使要出现答案也应该像密码一样,只显示空白或者以星号覆盖。
- 如果用户需要重设问题答案,他/她应该再次找到那个问题,重新回答一次。
- 如果用户再次忘记问题的答案,他/她应该像重设密码一样找到问题,再次回答,或者转到重设问题的页面。
- 如果用户想要添加问题、删除问题或者改变问题,也需要应用相同的规则。应该要求他/她从头开始提问与回答的过程。
现在,请记住,重设问题和重设密码有一个关键的区别。密码需要重设时,系统管理员或者帮助中心的最佳选择是只提供一次短期密码,而且密码只是在很短的时间内比如说24小时内有效。用户以短期密码登陆后,他/她需要立刻设置新密码,然后短期密码就失效了。这样,密码一直受到保护,即使系统管理员和帮助中心也无法获得用户密码。
安全回答有别于密码,因为安全问题的答案由用户最初设置的,而初始密码通常由管理员或其他IT员工设置。