Kami baru saja pindah ke strategi penyimpanan kata sandi yang lebih baik, dengan itu muncul semua hal yang baik:
- Kata sandi disimpan setelah melalui bCrypt
- Pengguna dikirim tautan aktivasi pada pembuatan akun untuk mengonfirmasi kepemilikan alamat
- Lupa kata sandi tanpa pertanyaan keamanan, tautan dikirim ke email mereka.
- Tautan akan kedaluwarsa setelah 24 jam, dan pada saat itu mereka harus meminta yang baru.
- Jika akun dibuat dari staf kami, email dikirim dengan kata sandi kuat acak di dalamnya. Setelah login, pengguna harus mengatur ulang ke sesuatu yang tidak kita ketahui dan itu adalah bCrypt.
Sekarang ini sesuai dengan "praktik terbaik" di sekitar, tetapi ini meningkatkan jumlah permintaan dukungan kami dari pengguna biasa yang tidak memahami semua ini, mereka hanya ingin masuk.
Kami sering mendapat permintaan dari pengguna yang mengeluh tentang:
- Kata sandi salah (dari kata sandi yang perlu mereka atur ulang mereka sering menempelkannya dengan spasi di bagian akhir). Mereka memberi tahu kami apa yang mereka gunakan tetapi kami tidak memiliki cara untuk memberi tahu mereka apa kata sandi mereka yang sebenarnya.
- Mengatakan mereka tidak menerima email yang kami kirimkan (aktivasi, reset, dll.). Ini sering tidak terjadi, setelah banyak pemecahan masalah, kami biasanya mengetahui bahwa mereka melakukan kesalahan ketik pada email, bahwa mereka tidak memeriksa akun email yang benar atau hanya masuk ke folder spam.
Kami tentu saja tidak dapat mencobanya untuk mereka karena kami tidak memiliki kata sandi. Kami mencatat upaya yang gagal tetapi kami juga menghapus kata sandi yang mereka gunakan karena itu kemungkinan kata sandi yang digunakan untuk akun lain dan kami tidak ingin menyimpan dalam file log teks biasa. Ini membuat kami tidak punya apa-apa untuk membantu mereka ketika mereka melaporkan masalah.
Saya ingin tahu bagaimana kebanyakan orang menangani masalah seperti ini?