Смена пароля и восстановление только на мобильный

Здравствуйте.

Нужно сделать такой функционал, чтобы сменить пароль или восстановить можно было только с помощью мобильного.
Или опцию такую, что можно оставить как обычно, а можно только на мобильный.
Это нужно, если в один аккаунт имеют доступ несколько человек. Например, сотрудник компании, кто отправляет заявки не должен иметь возможность сменить пароль.
Защититься от этого можно только с помощью мобильника самого начальника.

Ну как правило для смены пароля нужно ввести старый пароль. Если пароль будет знать только начальник, то ни кто другой не сможет его сменить.

А для восстановления давно используется мобильный, если он указан в профиле и подтвержден

>>Ну как правило для смены пароля нужно ввести старый пароль. Если пароль будет знать только начальник
Человек, который входит в ЛК знает пароль, он по нему вошёл. А значит он может его сменить.
Поэтому и нужно подтверждение по смс смены пароля.

mrmoric, если человек уже зашел в аккаунт, то вряд ли можно что-то сделать. Он пойдет сменит номер мобильного и на него восстановит пароль. Запрашивать подтверждение при смене мобильного? Так его уже может и не быть. При смене email тоже спрашивать? Слишком много весьма сомнительных "защит".

Смена мобильного тоже естественно с подтверждением на этот мобильный.
Идею я не из головы взял, а сайта фрилансера. Теперь там у меня работает несколько людей в аккаунте и я знаю, что мой аккаунт в безопасности.

Тут я так сделать не могу и это существенно мешает ведению бизнесса. Мне надо, чтобы несколько людей имели доступ в мой аккаунт, но полные права были только у меня.

Цитата ("mrmoric"):

Смена мобильного тоже естественно с подтверждением на этот мобильный.

Смена с подтверждением на старый номер? А что делать, если старый номер утерян и это, собственно, является причиной его смены?

Цитата:

Смена с подтверждением на старый номер?

Да

Цитата:

А что делать, если старый номер утерян и это, собственно, является причиной его смены?

Написать, что опция включается на свой страх и риск.
И если телефон будет утерян, то восстановить аккаунт не получится.
И когда включаешь эту опцию прямо красным прописать и выдать предупреждение, что это очень серьёзно.
Лично я уверен, что у меня номер не потеряется.

К тому сейчас можно прийти в салон сотовой связи и восстановить номер своей сисмки даже если ты её утерял. Так что проблемы не вижу.

mrmoric, как-то слишком все усложняется. А все для того, чтобы защитить аккаунт от того, кто и так имеет к нему доступ. Весьма сомнительно все это.

Я кстати тоже против возможности простой смены номера телефона. Если телефон привязан, то давать возможность так просто его сменить через интерфейс сайта не нужно.

Hungry_Hunter, нотариально заверенное заявление в трех экземплярах?

Можно и так Объясню почему:
1. Злоумышленник уводит куки, попадает в учетную запись.
2. Идет меняет телефон и почту.
3. Меняет пароль.
4. Аккаунт безвозвратно утерян.

Если бы телефон менять было нельзя, то что бы ни случилось - всегда можно восстановить доступ к аккаунту.
Я в свое время прошел муки ада, когда восстанавливал доступы после угона почты на разных сайтах, а вот там, где был намертво привязан телефон у меня проблем не возникло.

На первом же пункте срежется.
Ну и через саппорт доступ можно будет восстановить все равно.

Цитата ("frig"):

На первом же пункте срежется.

Ты имеешь в виду проверку по IP? А если она отключена? Или там все хитро и продумано?

Hungry_Hunter, не скажу

Все, понял Военная тайна!