Recentemente abbiamo adottato una strategia di archiviazione delle password migliore, con tutte le cose positive:
- Le password vengono memorizzate dopo aver attraversato bCrypt
- All'utente viene inviato un link di attivazione sulla creazione dell'account per confermare la proprietà dell'indirizzo
- Hai dimenticato la password senza domanda di sicurezza, un link viene inviato alla loro email.
- Il link scade dopo 24 ore, a quel punto sarà necessario richiederne uno nuovo.
- Se l'account viene creato dal nostro staff, viene inviata un'email con una password complessa casuale. Al momento dell'accesso, l'utente deve reimpostarlo su qualcosa che non conosciamo e che è bCrypt'd.
Ora questo è in accordo con le "best practice" in giro, ma questo ha aumentato la nostra quantità di richieste di supporto molto da utenti regolari che non capiscono tutto questo, vogliono solo accedere.
Spesso riceviamo richieste da parte degli utenti che si lamentano di:
- Password errata (da quella che è necessario reimpostare, spesso la incolla con uno spazio alla fine). Ci dicono cosa stanno usando, ma non abbiamo modo di dirgli quale sia la loro vera password.
- Dicendo che non ricevono l'e-mail che inviamo (attivazione, ripristino, ecc.). Questo spesso non accade, dopo una lunga risoluzione dei problemi di solito abbiamo scoperto che hanno fatto un refuso nell'e-mail, che non stanno controllando l'account e-mail corretto o che sono semplicemente andati nella cartella spam.
Naturalmente non possiamo provarlo per loro perché non abbiamo la password. Stiamo registrando i tentativi falliti, ma cancelliamo anche la password che hanno utilizzato poiché è probabile che sia la password utilizzata per un altro account e non volevamo archiviarli in un file di registro di solo testo. Questo ci lascia praticamente senza aiuto per segnalare problemi.
Sono curioso di sapere come la maggior parte delle persone si occupa di problemi come questi?