Nous avons récemment adopté une meilleure stratégie de stockage des mots de passe, avec toutes les bonnes choses:
- Les mots de passe sont stockés après avoir traversé bCrypt
- L'utilisateur reçoit un lien d'activation lors de la création du compte pour confirmer la propriété de l'adresse
- Mot de passe oublié sans question de sécurité, un lien est envoyé à leur email.
- Le lien expire au bout de 24 heures, date à laquelle il devra en demander un nouveau.
- Si le compte est créé à partir de notre personnel, un e-mail est envoyé avec un mot de passe fort aléatoire. Lors de la connexion, l'utilisateur doit le réinitialiser à quelque chose que nous ne savons pas et qui est bCrypt'd.
Maintenant, cela est conforme aux "meilleures pratiques", mais cela a augmenté notre quantité de demandes d'assistance de la part d'utilisateurs réguliers qui ne comprennent pas tout cela, ils veulent juste se connecter.
Nous recevons souvent des demandes d'utilisateurs qui se plaignent de:
- Mot de passe incorrect (de celui dont ils ont besoin pour réinitialiser, ils le collent souvent avec un espace à la fin). Ils nous disent ce qu'ils utilisent mais nous n'avons aucun moyen de leur dire quel est leur véritable mot de passe.
- Dire qu'ils ne reçoivent pas l'e-mail que nous leur envoyons (activation, réinitialisation, etc.). Ce n'est souvent pas le cas, après de nombreux dépannages, nous avons généralement découvert qu'ils avaient fait une faute de frappe dans l'e-mail, qu'ils ne vérifiaient pas le bon compte de messagerie ou qu'il était simplement entré dans le dossier spam.
Nous ne pouvons bien sûr pas l'essayer pour eux car nous n'avons pas le mot de passe. Nous enregistrons les tentatives infructueuses mais nous effaçons également le mot de passe qu'ils ont utilisé car il s'agit probablement du mot de passe utilisé pour un autre compte et nous ne voulions pas le stocker dans un fichier journal en texte brut. Cela ne nous laisse pratiquement rien pour les aider lorsqu'ils signalent des problèmes.
Je suis curieux de savoir comment la plupart des gens gèrent ces problèmes?