我们最近转向了更好的密码存储策略,它带来了所有的好处:
- 通过bCrypt后存储密码
- 系统会在创建帐户时向用户发送激活链接,以确认地址的所有权
- 忘记密码而没有安全问题,会将链接发送到他们的电子邮件。
- 该链接将在24小时后失效,此时他们将需要请求一个新的链接。
- 如果帐户是由我们的员工创建的,则会发送一封包含随机强密码的电子邮件。登录后,用户必须将其重置为我们不知道的东西,并且被密码加密了。
现在,这符合周围的“最佳实践”,但这增加了我们对不了解所有这些,而他们只想登录的普通用户的支持需求。
我们经常收到抱怨以下内容的用户的请求:
- 密码错误(从他们需要重设的密码开始,他们经常在密码的末尾粘贴一个空格)。他们告诉我们他们正在使用什么,但是我们无法告诉他们他们的实际密码是什么。
- 说他们没有收到我们发送给他们的电子邮件(激活,重置等)。通常情况并非如此,经过大量故障排除后,我们通常发现他们在电子邮件中打了错字,他们没有检查正确的电子邮件帐户,或者只是将其放入了垃圾邮件文件夹。
我们当然不能为他们尝试,因为我们没有密码。我们正在记录失败的尝试,但是我们也清除了他们使用的密码,因为它很可能是另一个帐户使用的密码,并且我们不想存储在纯文本日志文件中。这样,当他们报告问题时,我们几乎没有任何帮助。
我很好奇大多数人如何处理此类问题?