ユーザーへのパスワードハッシュとサポート

私たちは最近、より良いパスワードストレージ戦略に移行しました。

• パスワードはbCryptを通過した後に保存されます
• アカウントの作成時に、アドレスの所有権を確認するためのアクティベーションリンクがユーザーに送信されます
• セキュリティの質問なしにパスワードを忘れた場合、リンクがメールに送信されます。
• リンクは24時間後に期限切れになり、その時点で新しいリンクをリクエストする必要があります。
• アカウントがスタッフから作成された場合、ランダムな強力なパスワードが含まれたメールが送信されます。ユーザーのログイン時に、それを私たちが知らない何かにリセットする必要があり、それはbCryptされます。

現在、これは「ベストプラクティス」に準拠していますが、これを理解していない、ログインしたいだけの一般ユーザーからのサポートリクエストの量が大幅に増加しました。

私たちはしばしば不満を言うユーザーからリクエストを受けます：

• パスワードが間違っている（リセットする必要があるものから、末尾にスペースを付けてパスワードを貼り付けることが多い）。彼らは彼らが何を使っているかを私たちに伝えますが、私たちは彼らに実際のパスワードが何であるかを伝える方法がありません。
• Googleから送信されたメールを受け取っていない（アクティベーション、リセットなど）とします。多くのトラブルシューティングの後、通常はメールにタイプミスがあること、彼らが正しいメールアカウントをチェックしていないこと、または単にスパムフォルダーに入っていることを発見した多くのトラブルシューティングの後、これはしばしばそうではありません。

もちろん、パスワードがないので試してみることはできません。失敗した試行をログに記録していますが、それらが使用したパスワードもクリアしています。これは、別のアカウントで使用されているパスワードである可能性が高く、プレーンテキストのログファイルに保存したくないためです。これは、彼らが問題を報告するときに彼らを助けるためにほとんど何も残しません。

ほとんどの人がこれらのような問題にどのように対処するかについて私は興味がありますか？

パスワードが間違っている（リセットする必要があるものから、末尾にスペースを付けてパスワードを貼り付けることが多い）。彼らは彼らが何を使っているかを私たちに伝えますが、私たちは彼らに実際のパスワードが何であるかを伝える方法がありません。

代わりに、ログインしてパスワードをリセットするように強制するワンタイムGUIDのリンクを含めることで修正できます。ユーザーにコピーと貼り付けを強制しないでください。（また、フォームのパスワードの最後にある空白を削除しないでください。）

Googleから送信されたメールを受け取っていない（アクティベーション、リセットなど）とします。多くのトラブルシューティングの後、通常はメールにタイプミスがあること、彼らが正しいメールアカウントをチェックしていないこと、または単にスパムフォルダーに入っていることを発見した多くのトラブルシューティングの後、これはしばしばそうではありません。

送信メールがスパム解除されていることを確認し（おそらくいくつかの一般的なメールサービスでテストアカウントをセットアップします）、発生したことをすべてログに記録し、ユーザーが新しいリセットを要求した場合にユーザーに報告します（johndoee @ gmailへのメールなど）。 .comが失敗し、ユーザーが見つからなかった、それを正しく綴ったか？また、スペルとスパムの問題についてユーザーに明確にしてください。

また、他の人が言ったように、OpenIDや他のサードパーティの認証もオプションです。

Facebook、OpenID、Googleなどのサードパーティの認証方法を使用すると思います...ユーザーにとって適切なものなら何でも。ただし、ユーザーがパスワードを思い出せない場合、サードパーティの認証システムを使用できない可能性があります...

状況によっては、SSLクライアント証明書などの別のシステムを使用できる場合があります（エンドユーザーにインストールするのは間違いなく困難ですが、これが会社であり、インストールを自動化できる場合は、すばらしいです）、Windows SSO、モバイルアプリなど

あなたもそれをしている必要がありますか？最初に行う必要があることは、何を保護し、誰から保護するかを決定します。たぶん、それはベストプラクティスのコストに見合うだけの価値はないかもしれません。

あなたがNSAに反対していて、彼らが望むものを持っているなら、あきらめて、ユーザーの生活を楽にします。クレジットカード番号を持っている場合は、必要なレベルのセキュリティに必要な問題に耐えなければなりません。それを望む悪意のある人がいて、お金と時間をかけてそれらを入手するからです。それは家族の写真アルバムへのアクセスです、あなたはそのすべてのセキュリティが必要ですか？

セキュリティを理解するための良い出発点として、Buce Scheinersの作品（Secrets and Lies）を読んでください。

飛び出す最初の事柄はあなたの電子メールがジャンクメールに入るということです。メールが本物と認識されるように設定するのは簡単ではありません。メールのフラグが正しく設定されないようにする方法を検討することをお勧めします（別の質問ですか？）

私がお勧めする2番目のことは、パスワード回復メールを開始するワンクリックWebサイト/アプリをユーザーに提供することです。電子メール以外の方法でそれを行うことを拒否します。それは安全ではなく、悪い先例を設定します。

彼らがあなたに電話をかけ、彼らのパスワードを大声で伝えようとするという事実は、これらのユーザーにとって、パスワードとそれが保護する情報はそれほど大したことではないことを教えてくれます。銀行のパスワードを使ってこれらのことをすることは決してありません。しかし、本当に価値のないものにパスワードを要求するサイトはたくさんあります。これらすべてに使用する標準パスワードが1つあり、「強力なパスワードではありません」または「パスワードを作成して定期的に変更するよう強制する」などのように、使用したくないそのサービス。私はあなたの人生の「ビジネスバリュー」の人々と短い会話をして、実際に彼らをプレーンテキストでdbに保持し、リクエストに応じて人々にメールすることがより良いアプローチであるかどうかを確認します。

これが実際にこれで安全であれば、私たちがコード化したシステムで私のクライアントの1人が何をしたか試すことができます。人との電話中に、dbに移動し、メールアドレスを自分のものに変更します。次にWebにアクセスして、「パスワードを忘れた」をクリックします。電子メールを待ち、それを使用してログインします。Webサイトを使用して、パスワードをパスワードなど、お客様と口頭で同意する何かに変更します。メールアドレスを自分のアドレスに戻し、「設定が完了しました。新しいパスワードが有効になりました！」幸せなお客様であり、何が起こっているのか説明する必要はありません。

過去に文盲のユーザーがいるシステムで最後に使用した方法は、電話番号と確認番号が表示される画面にユーザーを誘導することでした。彼らは電話番号に電話し、手動で自分の身元を確認し、確認を読みました。サポート担当者は別のシステムにログインし、番号を入力して、クライアントに返すための2番目の番号を取得しました。クライアントは2番目のコードを使用して、パスワードのリセットページに進みました。クライアントバージョンのページをサポート担当者のサブネットから実行できず、サポート画面をクライアントから実行できませんでした。

サポート担当者がvpnを使用して1つの場所から両端を実行できるため、完全ではありませんが、サポートアカウントがアクティビティの責任者としてログに記録されたため、監査には十分でした

おそらく、狂ってはいないセキュリティルールを実装することによって。これを行うと、システムが非常に使いにくくなり、クライアントがあなたとその友達にパスワードを再確認して機能させるだけになるため、実際に得られるのはセキュリティの低下です。

通常のリンクを送信し、次にパスワードを送信することはできません。リンクがメールクライアントで壊れた場合は、「アクティベーションコード」というフィールドを1つだけフォームに表示します。クレジットカードの場合は数字でも問題ありません。単純なログインには非常に複雑なポリシーが必要ですか。コードが機能しない場合は、TRIMmed文字列でチェックを繰り返しますか？安全性が低下することはないと思いますよね？:)

私にとっても頻繁に発生します...パスワードをダブルクリックすると、末尾のスペースがコピーされます。チェックが失敗したときにpepleが最後の白い文字を削除するだけで理解できず、プロセスを繰り返すことができないのはなぜでしょうか？次に、誤ってCLを押さなかったかどうかを確認するために、大文字と小文字を切り替えます。

あなたはそれをとてもひどく複雑にしています。「パスワードのリセット」や「初期パスワード」ではなく、「確認コード」と「メールで送信した確認番号を入力」、「メールがない場合はxxx@yyy.comに送信されました。確認してください」もう一度あなたのスパム、それを持っていない？確認メールを再送してください。」HTML本文にはリンク。http://xxx.com/conf-12345-mymail-gmail-com.html。これを壊すメールクライアントはありません。