用戶帳戶,授權(quán)和密碼管理的12個最佳實踐
賬戶管理,授權(quán)和密碼管理往往是很棘手的。對很多開發(fā)者來說,賬戶管理功能是一個暗角,不會引起足夠的重視。對于產(chǎn)品經(jīng)理和用戶來說,產(chǎn)品
4. 允許多個身份關(guān)聯(lián)到單個用戶賬號
一開始使用 用戶名和密碼 認(rèn)證登錄到服務(wù)的用戶,后面可能會使用 Google Sign-In 來登錄。他們并不知道這會創(chuàng)建多余的賬號。類似地,由于某些原因,服務(wù)中的一個用戶可能會關(guān)聯(lián)到多個電子郵箱。如果能正確的分離用戶身份和認(rèn)證信息,將 多個身份鏈接 到同一個用戶就會變得簡單。
你的后臺需要考慮到用戶可能會通過一部分甚至所有途徑來通過注冊過程,但他們并沒有意識到在新的第三方身份沒有關(guān)聯(lián)到他們已經(jīng)存在于系統(tǒng)中的賬號。最簡單的實現(xiàn)是要求用戶提供一個共同的細節(jié)用于識別,比如電子郵件地址,電話或用戶名等。如果該數(shù)據(jù)與匹配到系統(tǒng)中現(xiàn)有的用戶,則要求他們認(rèn)證已知身份并將新的 ID 關(guān)聯(lián)到已存在的賬號上。
5. 不要拒絕長密碼或者復(fù)雜的密碼
NIST 最近更新了關(guān)于 密碼復(fù)雜度和強度 的準(zhǔn)則。如果你正在(或馬上會)使用高強度的散列算法來保存密碼,很多問題就會迎刃而解。不管輸入的內(nèi)容有多長,散列算法都會生成固定長度的輸出,所以用戶可以使用他們喜歡的長密碼。如果你必須限制密碼長度,應(yīng)該僅從服務(wù)支持的最大 POST 大小來考慮限制。嚴(yán)格地說,這通常大于 1M。
散列后的密碼由大家都知道的一小部分 ASCII 字符組成。就算不是,也很容易通過 Base64 把二進制數(shù)據(jù)轉(zhuǎn)換過來。考慮到這一點,你應(yīng)該允許用戶在密碼中隨意使用字符。如果有人想在密碼中使用克林貢語、表情字符和控制字符并在兩端加入空白字符,你應(yīng)該沒有技術(shù)方面的理由來拒絕他們。
6. 不要為用戶名強加不合理的規(guī)則
有些網(wǎng)站或服務(wù)要求用戶名的字符數(shù)不低于兩三個字符,不允許不可見字符,前后不能有空格,這些都毫無道理。然而,有些網(wǎng)站會要求最小長度為 8 個字符,只允許使用 7 位(bit) 的 ASCII 字母和數(shù)字。
在網(wǎng)站上嚴(yán)格限制用戶名,可能會為開發(fā)者帶來方便,但在某些極端情況下對用戶的要求會讓某些用戶望而卻步。
某些情況下最好的辦法是指定用戶名。如果你的服務(wù)中遇到這種情況,需要確保指定的用戶名對用戶來說很容易想起來也很容易告訴別人。字母數(shù)字組合的 ID 應(yīng)該避免視覺上不易識別的符號,比如“Il1O0”。同時還建議對隨機生成的字符串進行字典掃描,確保用戶名中沒有意外嵌入一些信息。這一原則同樣適用于自動生成的密碼。
7. 允許用戶更改他們的用戶名
在遺留系統(tǒng)或任何提供電子郵件帳戶的平臺中,不允許用戶更改其用戶名是非常常見的。這里有很多 好的理由 支持不自動釋放用戶名以供重復(fù)使用,但系統(tǒng)的長期用戶最終會給出一個很好的理由來使用不同的用戶名,并且他們可能不想創(chuàng)建新的帳戶。
你可以通過允許別名并讓你的用戶選擇主別名來滿足用戶期望更改其用戶名的愿望。你可以在此功能之上應(yīng)用所需的任何業(yè)務(wù)規(guī)則。某些組織可能每年僅允許更改一次用戶名,或?qū)⒆柚褂脩麸@示除主用戶名以外的任何內(nèi)容。電郵供應(yīng)商可能會確保用戶在將老用戶名從其帳戶中分離出來之前充分得了解了相關(guān)風(fēng)險,或者可能完全禁止將老用戶名斷開鏈接。
為你的平臺選擇合適的規(guī)則,但要確保它們允許你的用戶隨著時間的推移而成長和改變。
8. 允許你的用戶刪除自己的賬號
相當(dāng)數(shù)量的服務(wù)沒有用于用戶刪除其賬戶及相關(guān)數(shù)據(jù)的自助服務(wù)手段。用戶永久關(guān)閉帳戶并刪除所有個人數(shù)據(jù)有很多好的理由。這些問題需要根據(jù)你的安全行和合規(guī)需求進行平衡,但大多數(shù)受監(jiān)管的環(huán)境提供了有關(guān)數(shù)據(jù)保留的具體指導(dǎo)。避免合規(guī)和黑客攻擊的常見解決方案是讓用戶自己規(guī)劃其帳戶以備將來自動刪除。
在某些情況下,你可能需要 遵照 用戶的要求,及時刪除其數(shù)據(jù)。如果發(fā)生數(shù)據(jù)泄露,對于發(fā)生“已關(guān)閉”帳戶的數(shù)據(jù)泄露情況,你還可以大大提高你的曝光率。
9. 在會話長度上有意識地做決定
在安全驗證上常常被忽略的是 會話長度 。Google 作出了一些努力來 確保用戶的行為 并進行雙重檢查,這主要基于某些事件和行為。用戶可以有步驟地 進一步加強他們的安全性 。
你的服務(wù)可以有明確的理由來保持會話,而不是非關(guān)鍵分析目的無限期開放,但是,應(yīng)該有一個 門檻 來要求您輸入密碼、或第二個因素或其他用戶驗證。
考慮多久的時間用戶應(yīng)該認(rèn)證,并明確之前是不活躍的。如果有人進行密碼重置,就需要驗證所有活動會話的用戶身份。如果一個用戶更改核心方面的配置文件或當(dāng)他們執(zhí)行敏感的行動,應(yīng)該提示身份驗證或第二因素。并考慮不允許從多個設(shè)備或位置登錄是否有意義。
當(dāng)你的服務(wù)用戶會話到期或需要重復(fù)認(rèn)證,提示用戶實時或提供一種機制來保護任何活動來保存未保存的最后驗證。用戶填寫表單,提交它一段時間后,發(fā)現(xiàn)他們所有的輸入已經(jīng)丟失,他們必須再次登錄,這是非常令人沮喪的。
責(zé)任編輯:任我行
免責(zé)聲明:本文僅代表作者個人觀點,與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關(guān)內(nèi)容。
我要收藏
個贊
-
碳中和戰(zhàn)略|趙英民副部長致辭全文
2020-10-19碳中和,碳排放,趙英民 -
兩部門:推廣不停電作業(yè)技術(shù) 減少停電時間和停電次數(shù)
2020-09-28獲得電力,供電可靠性,供電企業(yè) -
國家發(fā)改委、國家能源局:推廣不停電作業(yè)技術(shù) 減少停電時間和停電次數(shù)
2020-09-28獲得電力,供電可靠性,供電企業(yè)
-
碳中和戰(zhàn)略|趙英民副部長致辭全文
2020-10-19碳中和,碳排放,趙英民 -
深度報告 | 基于分類監(jiān)管與當(dāng)量協(xié)同的碳市場框架設(shè)計方案
2020-07-21碳市場,碳排放,碳交易 -
碳市場讓重慶能源轉(zhuǎn)型與經(jīng)濟發(fā)展并進
2020-07-21碳市場,碳排放,重慶
-
兩部門:推廣不停電作業(yè)技術(shù) 減少停電時間和停電次數(shù)
2020-09-28獲得電力,供電可靠性,供電企業(yè) -
國家發(fā)改委、國家能源局:推廣不停電作業(yè)技術(shù) 減少停電時間和停電次數(shù)
2020-09-28獲得電力,供電可靠性,供電企業(yè) -
2020年二季度福建省統(tǒng)調(diào)燃煤電廠節(jié)能減排信息披露
2020-07-21火電環(huán)保,燃煤電廠,超低排放
-
四川“專線供電”身陷違法困境
2019-12-16專線供電 -
我國能源替代規(guī)范法律問題研究(上)
2019-10-31能源替代規(guī)范法律 -
區(qū)域鏈結(jié)構(gòu)對于數(shù)據(jù)中心有什么影響?這個影響是好是壞呢!