हमने हाल ही में एक बेहतर पासवर्ड स्टोरेज स्ट्रैटेजी की ओर रुख किया है, जिसमें सभी अच्छे सामान आए हैं:
- पासवर्ड bCrypt के माध्यम से जाने के बाद संग्रहीत किए जाते हैं
- पते के स्वामित्व की पुष्टि करने के लिए उपयोगकर्ता को खाता निर्माण पर एक सक्रियण लिंक भेजा जाता है
- सुरक्षा प्रश्न के बिना पासवर्ड भूल गए, उनके ईमेल पर एक लिंक भेजा जाता है।
- लिंक 24 घंटे के बाद समाप्त हो जाता है, जिस बिंदु पर उन्हें एक नया अनुरोध करने की आवश्यकता होगी।
- यदि खाता हमारे कर्मचारियों से बनाया गया है, तो एक ईमेल इसमें एक यादृच्छिक मजबूत पासवर्ड के साथ भेजा जाता है। उपयोगकर्ता में लॉगिन करने पर उसे कुछ ऐसी चीज़ों के लिए रीसेट करना होगा जिन्हें हम नहीं जानते हैं और जो कि bCrypt'd है।
अब यह "बेस्ट-प्रैक्टिस" के अनुसार है, लेकिन इससे नियमित उपयोगकर्ताओं से हमारे समर्थन के अनुरोध में बहुत वृद्धि हुई है, जो यह सब नहीं समझते हैं, वे बस लॉगिन करना चाहते हैं।
हमें अक्सर उन उपयोगकर्ताओं से अनुरोध मिलता है जिनके बारे में शिकायत करते हैं:
- गलत पासवर्ड (जिस से उन्हें रीसेट करने की आवश्यकता होती है वे अक्सर इसे अंत में एक स्थान के साथ चिपकाते हैं)। वे हमें बताते हैं कि वे क्या उपयोग कर रहे हैं लेकिन हमारे पास यह बताने का कोई तरीका नहीं है कि उनका वास्तविक पासवर्ड क्या है।
- यह कहना कि वे हमें वह ईमेल नहीं भेज रहे हैं जो हम उन्हें भेजते हैं (सक्रियण, रीसेट, आदि)। यह अक्सर ऐसा नहीं होता है, बहुत समस्या निवारण के बाद आमतौर पर हमें पता चलता है कि उन्होंने ईमेल में एक टाइपो किया था, कि वे सही ईमेल खाते की जांच नहीं कर रहे हैं या यह केवल स्पैम फ़ोल्डर में चला गया है।
हम बेशक उनके लिए यह कोशिश नहीं कर सकते क्योंकि हमारे पास पासवर्ड नहीं है। हम विफल प्रयासों को लॉग इन कर रहे हैं, लेकिन हमने पासवर्ड का भी उपयोग किया है, क्योंकि यह एक अन्य खाते के लिए उपयोग किए जाने वाले पासवर्ड होने की संभावना है और हम एक सादे पाठ लॉग फ़ाइल में संग्रहीत नहीं करना चाहते थे। जब वे समस्याओं की रिपोर्ट करते हैं तो यह उनकी मदद करने के लिए हमें बहुत कुछ नहीं देता है
मैं उत्सुक हूं कि अधिकांश लोग इन जैसे मुद्दों से कैसे निपटते हैं?