Gần đây chúng tôi đã chuyển sang một chiến lược lưu trữ mật khẩu tốt hơn, với tất cả những thứ hay ho:
- Mật khẩu được lưu trữ sau khi đi qua bCrypt
- Người dùng được gửi một liên kết kích hoạt khi tạo tài khoản để xác nhận quyền sở hữu địa chỉ
- Quên mật khẩu mà không có câu hỏi bảo mật, một liên kết được gửi đến email của họ.
- Liên kết hết hạn sau 24 giờ, tại thời điểm đó họ sẽ cần yêu cầu một liên kết mới.
- Nếu tài khoản được tạo từ nhân viên của chúng tôi, một email sẽ được gửi với mật khẩu mạnh ngẫu nhiên trong đó. Khi đăng nhập, người dùng phải đặt lại thành thứ chúng tôi không biết và đó là bCrypt'd.
Bây giờ điều này phù hợp với "thực tiễn tốt nhất" xung quanh, nhưng điều này đã tăng số lượng yêu cầu hỗ trợ của chúng tôi rất nhiều từ những người dùng thông thường không hiểu tất cả những điều này, họ chỉ muốn đăng nhập.
Chúng tôi thường nhận được yêu cầu từ những người dùng phàn nàn về:
- Mật khẩu không chính xác (từ mật khẩu mà họ cần đặt lại, họ thường dán nó với một khoảng trắng ở cuối). Họ nói với chúng tôi những gì họ đang sử dụng nhưng chúng tôi không có cách nào nói cho họ biết mật khẩu thực sự của họ là gì.
- Nói rằng họ không nhận được email chúng tôi gửi cho họ (kích hoạt, đặt lại, v.v.). Đây thường không phải là trường hợp, sau nhiều sự cố, chúng tôi thường phát hiện ra họ đã đánh máy trong email, rằng họ không kiểm tra đúng tài khoản email hoặc đơn giản là nó đã vào thư mục thư rác.
Tất nhiên chúng tôi không thể thử nó cho họ vì chúng tôi không có mật khẩu. Chúng tôi đang ghi lại các lần thử thất bại nhưng chúng tôi cũng xóa mật khẩu họ đã sử dụng vì đó có thể là mật khẩu được sử dụng cho một tài khoản khác và chúng tôi không muốn lưu trữ trong tệp nhật ký văn bản đơn giản. Điều này khiến chúng tôi không có gì nhiều để giúp đỡ họ khi họ báo cáo vấn đề.
Tôi tò mò về cách hầu hết mọi người đối phó với các vấn đề như thế này?