Hash password e supporto per il tuo utente

Di recente ci siamo spostati su una migliore strategia di archiviazione delle password, con le migliori novità:

• Le password vengono archiviate dopo aver attraversato bCrypt
• All'utente viene inviato un collegamento di attivazione durante la creazione dell'account per confermare la proprietà dell'indirizzo
• Hai dimenticato la password senza domande di sicurezza, un link viene inviato alla loro e-mail.
• Il collegamento scade dopo 24 ore, a quel punto dovranno richiederne uno nuovo.
• Se l'account viene creato dal nostro staff, viene inviata un'e-mail con una password complessa casuale. All'accesso l'utente deve reimpostarlo su qualcosa che non conosciamo e che è bCrypt'd.

Ora questo è in accordo con la "best practice" in circolazione, ma questo ha aumentato molto la nostra richiesta di supporto da parte degli utenti normali che non capiscono tutto questo, vogliono solo accedere.

Spesso riceviamo richieste dagli utenti che si lamentano di:

• Password errata (da quella che devono reimpostare spesso la incollano con uno spazio alla fine). Ci dicono cosa stanno usando ma non abbiamo modo di dire loro quale sia la loro vera password.
• Dicendo che non ricevono l'e-mail che li inviamo (attivazione, ripristino, ecc.). Questo non è spesso il caso, dopo una lunga risoluzione dei problemi abbiamo di solito scoperto di aver fatto un refuso nell'e-mail, che non stavano controllando l'account e-mail giusto o che semplicemente andavano nella cartella spam.

Ovviamente non possiamo provarlo per loro in quanto non abbiamo la password. Stiamo registrando i tentativi falliti ma cancelliamo anche la password che hanno usato poiché è probabile che sia la password utilizzata per un altro account e non volevamo archiviare in un file di registro di testo semplice. Questo non ci lascia praticamente nulla per aiutarli quando segnalano problemi.

Sono curioso di sapere come la maggior parte delle persone affronta problemi come questi?

Password errata (da quella che devono reimpostare spesso la incollano con uno spazio alla fine). Ci dicono cosa stanno usando ma non abbiamo modo di dire loro quale sia la loro vera password.

Risolvibile includendo invece un collegamento con un GUID una tantum che li accede e li costringe a reimpostare la password. Non forzare l'utente a copiare e incollare. (Inoltre, perché non rimuovere gli spazi bianchi alla fine della password nel modulo.)

Dicendo che non ricevono l'e-mail che li inviamo (attivazione, ripristino, ecc.). Questo non è spesso il caso, dopo una lunga risoluzione dei problemi abbiamo di solito scoperto di aver fatto un refuso nell'e-mail, che non stavano controllando l'account e-mail giusto o che semplicemente andavano nella cartella spam.

Assicurati che la tua e-mail in uscita sia rimossa da spam (forse imposta account di prova su alcuni comuni servizi di posta), registra tutto ciò che accade e magari segnalalo all'utente se tenta di richiedere un nuovo ripristino (ad esempio, posta a johndoee @ gmail .com non riuscito, l'utente non è stato trovato, l'hai scritto correttamente?). Inoltre, sii chiaro agli utenti sui problemi di ortografia e spam.

Inoltre, OpenID e altre autorità di terze parti sono anche un'opzione, come altri hanno già detto.

Direi di utilizzare un metodo di autenticazione di terze parti, come Facebook, OpenID, Google ... tutto ciò che è appropriato per i tuoi utenti. Tuttavia, se i tuoi utenti non riescono a ricordare la tua password, forse non saranno in grado di utilizzare un sistema di autenticazione di terze parti ...

A seconda della situazione, potresti essere in grado di utilizzare un altro sistema, ad esempio i certificati client SSL (sono sicuramente difficili da installare per gli utenti finali, ma se questa è un'azienda e puoi automatizzare la sua installazione, è eccezionale), Windows SSO, un'app mobile, ecc.

Hai persino bisogno di farlo? La prima cosa che devi fare determina ciò che stai proteggendo e da chi lo stai proteggendo. Forse non vale il costo delle migliori pratiche e forse le migliori pratiche non fermeranno nemmeno il tuo attaccante.

Se sei contro l'NSA e hai qualcosa che vogliono, rinuncia e rendi la vita facile ai tuoi utenti. Se hai numeri di carta di credito, dovrai affrontare i problemi richiesti dal livello di sicurezza richiesto, perché ci sono dei cattivi là fuori che li vogliono e spenderanno denaro e tempo per ottenerli. È l'accesso a un album di foto di famiglia, hai bisogno di tutta quella sicurezza.

Leggi su Buce Scheiners funziona (Secrets and Lies) come un buon inizio per comprendere la sicurezza.

La prima cosa che salta fuori è che le tue e-mail vanno nella posta indesiderata. Configurare l'e-mail in modo che venga riconosciuto come reale non è banale. Ti suggerisco di capire come impedire che la tua email venga contrassegnata in modo errato (domanda separata su SO?)

La seconda cosa che consiglierei è dare ai tuoi utenti un sito web / app con un clic che avvia le email di recupero della password. Rifiuta di farlo diversamente dall'e-mail, non è sicuro e crea un precedente negativo.

Il fatto che siano disposti a chiamarti e dirti la loro password ad alta voce ti dice che per questi utenti, la password e le informazioni che protegge non sono un grosso problema. Non farei mai nessuna di queste cose con la mia password bancaria. Ma ci sono un certo numero di siti che richiedono password per cose che in realtà non li meritano. Ho una password standard che uso per tutte quelle, e più "hey non è una password sicura" o "ti faremo una password e ti costringeremo a cambiarla regolarmente" e così via, meno voglio usare quel servizio. Avrei una breve conversazione con le persone "di valore commerciale" nella tua vita per vedere se in realtà solo tenerle in chiaro nel db e inviarle via e-mail alle persone su richiesta sarebbe un approccio migliore.

Se in realtà questo dovesse essere così sicuro, potresti provare quello che uno dei miei clienti ha fatto con il sistema che abbiamo programmato per loro. Mentre sei al telefono con la persona, vai nel db e cambia il tuo indirizzo e-mail con il tuo. Quindi vai sul Web e fai clic su Password dimenticata. Attendere l'e-mail e utilizzarla per accedere. Utilizzando il sito Web, modificare la password in Password o qualcos'altro che si accetta verbalmente con il cliente. Cambia il loro indirizzo e-mail al loro indirizzo e digli "tutto pronto, la tua nuova password è attiva ora!" Cliente felice e non devi spiegare loro cosa sta succedendo.

il metodo di ultima istanza che ho usato su un sistema con utenti molto analfabeti in passato era di indirizzare l'utente su uno schermo in cui venivano dati un numero di telefono e un numero di conferma. Chiamarono il numero di telefono, verificarono la loro identità con mezzi manuali e poi lessero la conferma. la persona di supporto ha effettuato l'accesso a un sistema separato, immesso il numero e ottenuto un secondo numero da restituire al client. il client ha utilizzato il secondo codice per continuare alla pagina di reimpostazione della password. la versione client della pagina non può essere eseguita dalle sottoreti del personale di supporto e la schermata di supporto non può essere eseguita dai client.

non è a prova di proiettile poiché una persona di supporto potrebbe utilizzare un VPN per eseguire entrambe le estremità da una posizione, ma è stato sufficiente per il controllo poiché l'account di supporto è stato registrato come responsabile dell'attività

Forse implementando regole di sicurezza che non sono INSANE. In questo modo, tutto ciò che ottieni è davvero meno sicurezza, perché il sistema è così difficile da usare che i tuoi clienti recupereranno le password a te e ai loro amici solo per farlo funzionare!

Non puoi semplicemente inviare loro i collegamenti NORMALI, quindi la password qui sotto. Se il collegamento viene interrotto dal client di posta elettronica, visualizza semplicemente il modulo con un campo "codice di attivazione" ... "digita il codice di attivazione che hai nell'email" ... 5 cifre in modo che non confondano 0 con O, ecc. 4 le cifre vanno bene per le carte di credito e hai bisogno di una politica così complicata per un accesso semplice? Se il codice non funziona, ripetere il controllo con la stringa TRIMmed? Immagino che non lo renderà meno sicuro, giusto? :)

Anche a me succede spesso ... faccio doppio clic sulla password e lo spazio finale viene copiato. È incredibile per me perché le persone non riescono a capire solo per rimuovere i caratteri bianchi finali quando il controllo fallisce e ripetere il processo? Quindi forse un TOGGLE che mi permette di controllare se non ho premuto CL accidentalmente.

Lo hai complicato così tanto. Non è "reimposta password" e "password iniziale" ... ma "Codice di conferma" e "Inserisci il numero di conferma che ti inviamo all'indirizzo e-mail", "Non hai un indirizzo e-mail? È stato inviato a xxx@yyy.com, controlla di nuovo il tuo spam, non ce l'hai ancora? Rinvia l'email di conferma ". Nel corpo HTML un link. http://xxx.com/conf-12345-mymail-gmail-com.html . Nessun client di posta lo interromperà.