Recentemente, mudamos para uma melhor estratégia de armazenamento de senhas, com todas as coisas boas:
- As senhas são armazenadas depois de passar pelo bCrypt
- O usuário recebe um link de ativação na criação da conta para confirmar a propriedade do endereço
- Esqueceu a senha sem pergunta de segurança, um link é enviado para o e-mail deles.
- O link expira após 24 horas, quando é necessário solicitar um novo.
- Se a conta for criada por nossa equipe, um email será enviado com uma senha forte e aleatória. Após o login, o usuário deve redefini-lo para algo que não sabemos e que é bCrypt'd.
Agora, isso está de acordo com as "práticas recomendadas", mas isso aumentou nossa quantidade de solicitações de suporte de usuários comuns que não entendem tudo isso, eles só querem fazer login.
Frequentemente, recebemos solicitações de usuários que reclamam de:
- Senha incorreta (daquela que eles precisam redefinir, geralmente a colam com um espaço no final). Eles nos dizem o que estão usando, mas não temos como dizer qual é a senha real.
- Dizendo que eles não estão recebendo o e-mail, nós os enviamos (ativação, redefinição etc.). Em geral, esse não é o caso, após muita solução de problemas, geralmente descobrimos que eles digitaram um erro de digitação no email, que não estavam verificando a conta de email correta ou que ela simplesmente estava na pasta de spam.
É claro que não podemos tentar por eles, pois não temos a senha. Estamos registrando as tentativas com falha, mas também limpamos a senha que eles usaram, pois provavelmente é a senha usada para outra conta e não queremos armazenar em um arquivo de log de texto sem formatação. Isso nos deixa com praticamente nada para ajudá-los quando relatam problemas.
Estou curioso para saber como a maioria das pessoas lida com questões como essas?