우리는 최근에 더 나은 암호 저장 전략으로 옮겼습니다.
- bCrypt를 거친 후 비밀번호가 저장됩니다.
- 주소를 확인하기 위해 계정 생성시 사용자에게 활성화 링크가 전송됩니다
- 비밀번호 힌트없이 비밀번호를 잊어 버리면 링크가 이메일로 전송됩니다.
- 링크는 24 시간 후에 만료되며 새 링크를 요청해야합니다.
- 직원이 계정을 만들면 임의의 강력한 암호가 포함 된 이메일이 전송됩니다. 로그인하면 사용자가 알지 못하는 것으로 재설정해야하며 bCrypt'd입니다.
이제 이것은 "모범 사례"와 일치하지만,이 모든 것을 이해하지 못하는 일반 사용자의 지원 요청이 많이 증가했습니다. 로그인 만하면됩니다.
우리는 종종 다음에 대해 불평하는 사용자로부터 요청을받습니다.
- 잘못된 비밀번호 (초기화해야하는 비밀번호에서 끝에 공백이있는 경우가 종종 있습니다). 그들은 우리에게 그들이 무엇을 사용하고 있는지 말하지만 우리는 그들에게 실제 암호가 무엇인지 말할 방법이 없습니다.
- 그들이 보낸 이메일을받지 못했다고 말하면 (활성화, 재설정 등). 많은 문제 해결 후 이메일에서 오타가 발생했거나 올바른 이메일 계정을 확인하지 않았거나 단순히 스팸 폴더로 이동했음을 알았습니다.
물론 암호가 없기 때문에 시도해 볼 수 없습니다. 실패한 시도를 기록하고 있지만 다른 계정에 사용 된 암호 일 가능성이 높고 일반 텍스트 로그 파일에 저장하지 않았기 때문에 사용한 암호도 지 웁니다. 이로 인해 문제를보고 할 때 도움이되지 않습니다.
대부분의 사람들이 이와 같은 문제를 어떻게 처리하는지 궁금합니다.