Di recente ci siamo spostati su una migliore strategia di archiviazione delle password, con le migliori novità:
- Le password vengono archiviate dopo aver attraversato bCrypt
- All'utente viene inviato un collegamento di attivazione durante la creazione dell'account per confermare la proprietà dell'indirizzo
- Hai dimenticato la password senza domande di sicurezza, un link viene inviato alla loro e-mail.
- Il collegamento scade dopo 24 ore, a quel punto dovranno richiederne uno nuovo.
- Se l'account viene creato dal nostro staff, viene inviata un'e-mail con una password complessa casuale. All'accesso l'utente deve reimpostarlo su qualcosa che non conosciamo e che è bCrypt'd.
Ora questo è in accordo con la "best practice" in circolazione, ma questo ha aumentato molto la nostra richiesta di supporto da parte degli utenti normali che non capiscono tutto questo, vogliono solo accedere.
Spesso riceviamo richieste dagli utenti che si lamentano di:
- Password errata (da quella che devono reimpostare spesso la incollano con uno spazio alla fine). Ci dicono cosa stanno usando ma non abbiamo modo di dire loro quale sia la loro vera password.
- Dicendo che non ricevono l'e-mail che li inviamo (attivazione, ripristino, ecc.). Questo non è spesso il caso, dopo una lunga risoluzione dei problemi abbiamo di solito scoperto di aver fatto un refuso nell'e-mail, che non stavano controllando l'account e-mail giusto o che semplicemente andavano nella cartella spam.
Ovviamente non possiamo provarlo per loro in quanto non abbiamo la password. Stiamo registrando i tentativi falliti ma cancelliamo anche la password che hanno usato poiché è probabile che sia la password utilizzata per un altro account e non volevamo archiviare in un file di registro di testo semplice. Questo non ci lascia praticamente nulla per aiutarli quando segnalano problemi.
Sono curioso di sapere come la maggior parte delle persone affronta problemi come questi?