เมื่อเร็ว ๆ นี้เราได้ย้ายไปใช้กลยุทธ์การจัดเก็บรหัสผ่านที่ดีขึ้นด้วยสิ่งที่ดีทั้งหมด:
- รหัสผ่านจะถูกเก็บไว้หลังจากผ่าน bCrypt
- ผู้ใช้จะได้รับลิงค์เปิดใช้งานในการสร้างบัญชีเพื่อยืนยันความเป็นเจ้าของที่อยู่
- ลืมรหัสผ่านโดยไม่มีคำถามเพื่อความปลอดภัยลิงค์จะถูกส่งไปยังอีเมลของพวกเขา
- ลิงค์จะหมดอายุหลังจาก 24 ชั่วโมง ณ จุดที่พวกเขาจะต้องขอใหม่
- หากบัญชีถูกสร้างขึ้นจากพนักงานของเราอีเมลจะถูกส่งด้วยรหัสผ่านที่รัดกุมแบบสุ่ม เมื่อเข้าสู่ระบบในผู้ใช้จะต้องรีเซ็ตเป็นสิ่งที่เราไม่รู้จักและนั่นคือ bCrypt'd
ขณะนี้เป็นไปตาม "แนวปฏิบัติที่ดีที่สุด" แต่นี่เป็นการเพิ่มจำนวนการสนับสนุนของเราจากผู้ใช้ทั่วไปที่ไม่เข้าใจทั้งหมดพวกเขาต้องการเข้าสู่ระบบ
เรามักจะได้รับการร้องขอจากผู้ใช้ที่บ่นเกี่ยวกับ:
- รหัสผ่านไม่ถูกต้อง (จากรหัสที่ต้องรีเซ็ตพวกเขามักจะวางด้วยช่องว่างในตอนท้าย) พวกเขาบอกเราว่าพวกเขากำลังใช้อะไรอยู่ แต่เราไม่มีวิธีบอกพวกเขาว่ารหัสผ่านจริงของพวกเขาคืออะไร
- บอกว่าพวกเขาไม่ได้รับอีเมลที่เราส่งไป (การเปิดใช้งานการรีเซ็ต ฯลฯ ) นี่ไม่ใช่กรณีหลังจากแก้ไขปัญหาเรามักพบว่าพวกเขาพิมพ์ผิดในอีเมลว่าพวกเขาไม่ได้ตรวจสอบบัญชีอีเมลที่ถูกต้องหรือว่ามันไปในโฟลเดอร์สแปม
แน่นอนว่าเราไม่สามารถทดลองใช้ได้สำหรับพวกเขาเนื่องจากเราไม่มีรหัสผ่าน เรากำลังบันทึกความพยายามที่ล้มเหลว แต่เรายังล้างรหัสผ่านที่ใช้เนื่องจากน่าจะเป็นรหัสผ่านที่ใช้สำหรับบัญชีอื่นและเราไม่ต้องการเก็บไว้ในไฟล์บันทึกข้อความธรรมดา สิ่งนี้ทำให้เราไม่มีอะไรจะช่วยพวกเขาเมื่อพวกเขารายงานปัญหา
ฉันอยากรู้ว่าคนส่วนใหญ่จัดการกับปัญหาเช่นนี้ได้อย่างไร