Есть ли недостатки использования цифрового пин кода для доступа к сайту вместо пароля?
Добрый день.
Возник вопрос по поводу разрешения доступа к сайту по дополнительному пинкоду. Почему возник: на сайте с важными данными о внутренней работе компании сотрудники получают доступ по логину и паролю (доступ должен быть с любого места, с любого устройства в любое время). Политика паролей настроена (смена через определенное время, простые пароли нельзя). Т.к. доступ к сайту нужен достаточно часто в течении дня, а сессионные куки держать долго нельзя, то пользователи должны часто аутентифицироваться. Что придумали: возникла идея (по мотивам Win 10) использовать шестизначный пинкод вместо пароля. Для ввода пин кода возможна только одна попытка. В случае неудачи - требуется вводить логин и пароль, после чего можно у себя в профиле опять выставить пин код для доступа.
Для пин кода тоже можно придумать правила: отключается через, например, 2 дня неактивности, а срок жизни - 2 недели.
Как считаете, какие недостатки есть у данного метода аутентификации?
Спасибо.
при неудачи пинкода - блокировать на день и менять.
вообщем норм, но ето тоже не самое лучшее.
В идеале двухфакторную авторизацию запилить. смс будет требоваться только если c другого пк\ip будуь заходить.
Т.е вместо логин+пароль вы предлагает запоминать пин+логин+пароль? Не проще тогда уже настроить авторизацию по смс:
Нажал кнопку, пришла смс с кодом который живет 5мин. Ввел его и всё.
Верно. Тем, кому нужно, предлагаю запоминать логин, пароль и пин. Использоваться будет либо пара логин+пароль (редко), либо логин+пин (часто). Пин не обязателен и служит только как средство ускорения доступа.
Про смс с кодом думали, но отвергли, т.к. у смс непредсказуемое время доставки сообщения, а в данной системе даже минута ожидания доступа это много. За это время можно было бы ввести пароль несколько раз.
Простой
Средний
