A link hosszú, minden bejelentkezési kérés esetén újra generált, egyedi hash-t tartalmaz. (24 óra után lejár)
Ez hogy all elo, pontosan?
Tehát így 2 faktoros, viszont nincsenek jelszavak.
Multi-factor authentication (MFA; encompassing two-factor authentication, or 2FA, along with similar terms) is an electronic authentication method in which a user is granted access to a website or application only after successfully presenting two or more pieces of evidence (or factors) to an authentication mechanism: knowledge (something only the user knows), possession (something only the user has), and inherence (something only the user is).
Szoval nalad a weboldalon semmi titkot nem potyog be a user (szuletesi datum nem secret), valojaban ha hozzafer valaki a levelezesehez akkor be tud lepni az oldalra. Velemenyem szerint ez igy one-factor.
Mi az oka annak, hogy nem egy meglevo megoldast hasznalsz? Mondjuk akarmilyen OTP-s megoldast (GA vagy akarmi)?
Ha nem kapja meg a levelet, mert akarmi, akkor nem tud belepni? Eleg idegesito lehet...
En user + pass + otp-t javasolnek.
Milyen további gyenge pontjai lehetnek ennek?
Hat peldaul nem tudhatod, hogy a level milyen csatornan jut el a felhasznalohoz. Titkositott vagy sem?
A születési év helyett mondjuk lehetne valami olyan adat bekérése amit a felhasználó mindig tudni fog,
de a munkatársa már valószínűleg nem. Pl. szülők születési dátuma
Mondjuk valami ami olyat mint egy jelszo ? :)
Secret-nek hasznalni barmilyen szuletesi datumot, nem jo otlet. Gyurj ossze egy password policy-t es kerj be jelszot!