Parola karma ve kullanıcı için destek

Son zamanlarda daha iyi bir şifre depolama stratejisine geçtik, bununla birlikte tüm iyi şeyler geldi:

• Parolalar bCrypt uygulamasından geçtikten sonra saklanır
• Kullanıcıya, adresin sahipliğini onaylamak için hesap oluşturma konusunda bir etkinleştirme bağlantısı gönderilir
• Güvenlik sorusu olmadan şifremi unuttum, e-postalarına bir bağlantı gönderilir.
• Bağlantının süresi 24 saat sonra dolar ve bu noktada yeni bir bağlantı istemeleri gerekir.
• Hesap personelimizden oluşturulursa, içinde rastgele güçlü bir şifre bulunan bir e-posta gönderilir. Kullanıcı oturum açtıktan sonra bilmediğimiz bir şeye sıfırlamak zorunda ve bu bCrypt'd.

Şimdi bu "en iyi uygulama" ile uyumludur, ancak bu, tüm bunları anlamayan normal kullanıcılardan destek talebimizi çok artırdı, sadece giriş yapmak istiyorlar.

Sıklıkla şikayet eden kullanıcılardan istek alırız:

• Yanlış şifre (sıfırlamak istedikleri paroladan genellikle sonunda bir boşluk ile yapıştırırlar). Bize ne kullandıklarını söylerler, ancak onlara gerçek parolalarının ne olduğunu söylemenin bir yolu yoktur.
• Gönderdiğimiz e-postayı almadığını söyleyerek (etkinleştirme, sıfırlama vb.). Çoğu zaman sorun olmaz, çoğu sorun giderme işleminden sonra e-postada bir yazım hatası yaptığını, doğru e-posta hesabını kontrol etmediklerini veya yalnızca spam klasörüne gittiğini öğrendik.

Elbette onlar için deneyemeyiz çünkü şifremiz yok. Başarısız girişimleri kaydediyoruz, ancak başka bir hesap için kullanılan şifre olması ve düz metin günlük dosyasında saklamak istemediğimiz için kullandıkları şifreyi de temizliyoruz. Bu bize sorunları bildirirken onlara yardım edecek hiçbir şey bırakmıyor.

Çoğu insanın bu gibi sorunlarla nasıl başa çıktığını merak ediyorum?

Yanlış şifre (sıfırlamak istedikleri paroladan genellikle sonunda bir boşluk ile yapıştırırlar). Bize ne kullandıklarını söylerler, ancak onlara gerçek parolalarının ne olduğunu söylemenin bir yolu yoktur.

Bunun yerine, oturum açan ve parolayı sıfırlamaya zorlayan bir kerelik GUID'ye sahip bir bağlantı ekleyerek düzeltilebilir. Kullanıcıyı kopyalayıp yapıştırmaya zorlamayın. (Ayrıca, formunuzdaki parolanın sonunda neden boşluk bırakmıyorsunuz?)

Gönderdiğimiz e-postayı almadığını söyleyerek (etkinleştirme, sıfırlama vb.). Çoğu zaman sorun olmaz, çoğu sorun giderme işleminden sonra e-postada bir yazım hatası yaptığını, doğru e-posta hesabını kontrol etmediklerini veya yalnızca spam klasörüne gittiğini öğrendik.

Giden e-postanızın istenmeyen postadan kaldırıldığından emin olun (bazı yaygın posta hizmetlerinde test hesapları oluşturun), gerçekleşen her şeyi günlüğe kaydedin ve yeni bir sıfırlama isteğinde bulunmaları durumunda kullanıcıya rapor edin (örneğin, johndoee @ gmail adresine posta gönderin) .com başarısız, kullanıcı bulunamadı, doğru yazdınız mı?). Ayrıca, yazım ve spam sorunları hakkında kullanıcılara açık olun.

Ayrıca, OpenID ve diğer üçüncü taraf yetkileri de diğerlerinin de söylediği gibi bir seçenektir.

Facebook, OpenID, Google gibi üçüncü taraf bir kimlik doğrulama yöntemi kullanın ... kullanıcılarınız için uygun olan her şeyi söyleyebilirim. Ancak, kullanıcılarınız şifrenizi hatırlayamazsa, üçüncü taraf bir kimlik doğrulama sistemi kullanamazlar ...

Durumunuza bağlı olarak, SSL istemci sertifikaları gibi başka bir sistem kullanabilirsiniz (son kullanıcılar için kesinlikle yüklemeleri zordur, ancak bu bir şirketse ve kurulumunu otomatikleştirebiliyorsanız, harika), Windows SSO, bir mobil uygulama vb.

Bunu yapmana bile gerek var mı? Yapmanız gereken ilk şey, neyi koruduğunuzu ve kimden koruduğunuzu belirler. Belki de en iyi uygulamanın maliyetine değmez ve belki de en iyi uygulama saldırganınızı durdurmaz.

NSA'ya karşıysanız ve istedikleri bir şeye sahipseniz, vazgeçip kullanıcılarınızın hayatını kolaylaştırın. Kredi kartı numaralarınız varsa, gerekli güvenlik düzeyinin gerektirdiği sorunlara katlanmak zorunda kalacaksınız, çünkü onları isteyen ve almak için para ve zaman harcayacak kötü adamlar var. Bir aile fotoğraf albümüne erişim, tüm bu güvenliğe ihtiyacınız var mı.

Güvenliği anlamak için iyi bir başlangıç ​​olarak Buce Scheiners çalışmalarını (Sırlar ve Yalanlar) okuyun.

Atlayan ilk şey, e-postalarınızın önemsiz postalara girmesidir. E-postayı gerçek olarak tanınacak şekilde ayarlamak önemsiz değildir. E-postanızın yanlış bir şekilde işaretlenmesini nasıl durduracağınıza bakmanızı öneririm (SO hakkında ayrı bir soru?

Tavsiye edeceğim ikinci şey, kullanıcılarınıza şifre kurtarma e-postalarını başlatan tek tıklamalı bir web sitesi / uygulama vermektir. E-postadan başka bir şekilde yapmayı reddetmek, güvensizdir ve kötü bir emsal oluşturur.

Sizi aramaya ve parolalarını yüksek sesle anlatmaya istekli olmaları, bu kullanıcılara, parola ve koruduğu bilgilerin o kadar büyük bir anlaşma olmadığını söyler. Bankacılık şifremle bunlardan hiçbirini yapmam. Ancak gerçekten hak etmeyen şeyler için şifre isteyen bir dizi site var. Bunların hepsi için kullandığım tek bir standart şifrem var ve daha fazla "hey bu güçlü bir şifre değil" veya "size bir şifre yapacağız ve sizi düzenli olarak değiştirmeye zorlayacağız" vb. Daha az kullanmak istiyorum o hizmeti. Ben aslında sadece db onları düz metin tutmak ve istek üzerine insanlara e-posta göndermek daha iyi bir yaklaşım olacağını görmek için hayatınızdaki "iş değeri" insanlarla kısa bir görüşme olacaktır.

Aslında bu kadar güvenli olsaydı, müşterilerimden birinin onlar için kodladığımız sistemle ne yaptığını deneyebilirsiniz. Kişi ile telefonda iken, db gidin ve e-posta adresini kendiniz değiştirin. Ardından web'e gidin ve Şifremi Unuttum'u tıklayın. E-postayı bekleyin ve giriş yapmak için kullanın. Web sitesini kullanarak şifreyi Şifre olarak veya müşteriyle sözlü olarak kabul ettiğiniz başka bir şeyle değiştirin. E-posta adreslerini tekrar kendi adreslerine değiştirin ve onlara "her şey hazır, yeni şifreniz şimdi etkin!" Mutlu müşteri ve onlara neler olduğunu açıklamak zorunda değilsiniz.

geçmişte çok okuma yazma bilmeyen kullanıcılara sahip bir sistemde kullandığım son çare yöntemi, kullanıcıyı telefon numarası ve onay numarası verilen bir ekrana yönlendirmekti. Telefon numarasını aradılar, kimliklerini manuel yollarla doğruladılar ve ardından onayı okuyun. destek personeli ayrı bir sisteme giriş yapmış, numarayı girmiş ve müşteriye geri vermek için ikinci bir numara almıştır. istemci, şifre sıfırlama sayfasına devam etmek için ikinci kodu kullandı. sayfanın istemci sürümü destek personelinin alt ağlarından çalıştırılamadı ve destek ekranı istemcilerden çalıştırılamadı.

bir destek görevlisinin her iki ucu bir konumdan çalıştırmak için bir vpn kullanabileceği için kurşun geçirmez değildir, ancak destek hesabı etkinlikten sorumlu olarak günlüğe kaydedildiği için denetim için yeterliydi

Belki INSANE olmayan güvenlik kurallarını uygulayarak. Bunu yaparak, elde ettiğiniz tek şey gerçekten daha az güvenliktir, çünkü sistemin kullanımı o kadar zordur ki, müşterileriniz size ve arkadaşlarına şifreleri yeniden çalıştıracak!

Onlara sadece NORMAL bağlantıları gönderemezsiniz, ardından aşağıdaki şifreyi giremezsiniz. E-posta istemcisi tarafından bağlantı koparsa formu sadece bir alan "aktivasyon kodu" ... "e-postada bulunan aktivasyon kodunu" yazın ... ... 5 basamaklı, böylece O ile 0 hata yapmazlar. 4 rakamlar kredi kartları için uygundur ve basit giriş için bu kadar karmaşık bir politikaya ihtiyacınız var mı? Kod çalışmazsa, TRIMmed dizesi ile kontrolü tekrarlayın. Sanırım daha az güvenli olmayacak, değil mi? :)

Benim için sık sık olur ... i şifre üzerinde çift tıklayın ve bitiş alanı kopyalanır. Çekin neden kontrol başarısız olduğunda biten beyaz karakterleri kaldırmak ve işlemi tekrarlamak için neden çözemiyorum? O zaman belki CL'ye yanlışlıkla basmadığımı kontrol etmem için mektup harfini TOGGLE.

Çok kötü bir şekilde karmaşık hale getirdin. "Şifreyi sıfırla" ve "başlangıç ​​şifresi" değil, ancak "Onay kodu" ve "Size e-postaya gönderdiğimiz onay numarasını girin", "E-postanız yok mu? Xxx@yyy.com adresine gönderildi, kontrol edin tekrar spam, hala sahip değil misiniz? Onay e-postanızı tekrar gönderin ". HTML gövdesinde bir bağlantı. http://xxx.com/conf-12345-mymail-gmail-com.html . Hiçbir posta istemcisi bunu kıramaz.