Son zamanlarda daha iyi bir şifre depolama stratejisine geçtik, bununla birlikte tüm iyi şeyler geldi:
- Parolalar bCrypt uygulamasından geçtikten sonra saklanır
- Kullanıcıya, adresin sahipliğini onaylamak için hesap oluşturma konusunda bir etkinleştirme bağlantısı gönderilir
- Güvenlik sorusu olmadan şifremi unuttum, e-postalarına bir bağlantı gönderilir.
- Bağlantının süresi 24 saat sonra dolar ve bu noktada yeni bir bağlantı istemeleri gerekir.
- Hesap personelimizden oluşturulursa, içinde rastgele güçlü bir şifre bulunan bir e-posta gönderilir. Kullanıcı oturum açtıktan sonra bilmediğimiz bir şeye sıfırlamak zorunda ve bu bCrypt'd.
Şimdi bu "en iyi uygulama" ile uyumludur, ancak bu, tüm bunları anlamayan normal kullanıcılardan destek talebimizi çok artırdı, sadece giriş yapmak istiyorlar.
Sıklıkla şikayet eden kullanıcılardan istek alırız:
- Yanlış şifre (sıfırlamak istedikleri paroladan genellikle sonunda bir boşluk ile yapıştırırlar). Bize ne kullandıklarını söylerler, ancak onlara gerçek parolalarının ne olduğunu söylemenin bir yolu yoktur.
- Gönderdiğimiz e-postayı almadığını söyleyerek (etkinleştirme, sıfırlama vb.). Çoğu zaman sorun olmaz, çoğu sorun giderme işleminden sonra e-postada bir yazım hatası yaptığını, doğru e-posta hesabını kontrol etmediklerini veya yalnızca spam klasörüne gittiğini öğrendik.
Elbette onlar için deneyemeyiz çünkü şifremiz yok. Başarısız girişimleri kaydediyoruz, ancak başka bir hesap için kullanılan şifre olması ve düz metin günlük dosyasında saklamak istemediğimiz için kullandıkları şifreyi de temizliyoruz. Bu bize sorunları bildirirken onlara yardım edecek hiçbir şey bırakmıyor.
Çoğu insanın bu gibi sorunlarla nasıl başa çıktığını merak ediyorum?