私たちは最近、より良いパスワードストレージ戦略に移行しました。
- パスワードはbCryptを通過した後に保存されます
- アカウントの作成時に、アドレスの所有権を確認するためのアクティベーションリンクがユーザーに送信されます
- セキュリティの質問なしにパスワードを忘れた場合、リンクがメールに送信されます。
- リンクは24時間後に期限切れになり、その時点で新しいリンクをリクエストする必要があります。
- アカウントがスタッフから作成された場合、ランダムな強力なパスワードが含まれたメールが送信されます。ユーザーのログイン時に、それを私たちが知らない何かにリセットする必要があり、それはbCryptされます。
現在、これは「ベストプラクティス」に準拠していますが、これを理解していない、ログインしたいだけの一般ユーザーからのサポートリクエストの量が大幅に増加しました。
私たちはしばしば不満を言うユーザーからリクエストを受けます:
- パスワードが間違っている(リセットする必要があるものから、末尾にスペースを付けてパスワードを貼り付けることが多い)。彼らは彼らが何を使っているかを私たちに伝えますが、私たちは彼らに実際のパスワードが何であるかを伝える方法がありません。
- Googleから送信されたメールを受け取っていない(アクティベーション、リセットなど)とします。多くのトラブルシューティングの後、通常はメールにタイプミスがあること、彼らが正しいメールアカウントをチェックしていないこと、または単にスパムフォルダーに入っていることを発見した多くのトラブルシューティングの後、これはしばしばそうではありません。
もちろん、パスワードがないので試してみることはできません。失敗した試行をログに記録していますが、それらが使用したパスワードもクリアしています。これは、別のアカウントで使用されているパスワードである可能性が高く、プレーンテキストのログファイルに保存したくないためです。これは、彼らが問題を報告するときに彼らを助けるためにほとんど何も残しません。
ほとんどの人がこれらのような問題にどのように対処するかについて私は興味がありますか?