Even een vraagje... ik vraag me iets af. Bij het inloggedeelte van een cms is het dan verstandig om een optie te bieden om gebruikersnaam / wachtwoord op te slaan? In de cms kunnen ook persoonlijke zaken komen te staan zoals jouw persoonlijke adresgegevens, vrije dagen e.d. In ieder geval informatie die niet voor andere collega's zichtbaar mag zijn.
Nu vraag ik me dus af wat wijsheid is:
1) niet de mogelijkheid bieden om gebruikersnaam / wachtwoord op te slaan
2) mogelijkheid bieden om alleen de gebruikersnaam op te slaan. De gebruikersnaam staat dan ingevuld, maar je moet zelf het wachtwoord nog invullen.
3) mogelijkheid bieden om zowel de gebruikersnaam als het wachtwoord op te slaan (je wordt dan automatisch ingelogd)
Optie 1 is het meest veilig maar betekent wel dat je als gebruiker telkens je gebruikersnaam en wachtwoord moet invullen. Optie 3 is het minst veilig, maar wel het meest gemakkelijk (je hoeft dan niks in te vullen).
De optie zou ik altijd erin zetten. Dan mag die persoon zelf bepalen wat hij wil.
Je moet niet alles zelf willen beslissen. Een gebruiker moet ook zelf verantwoordelijkheid hebben. Ik zou alle 3 de opties beschikbaar stellen. Zo kan de gebruiker kiezen naar wat hem het handigst lijkt.
Je kunt een gelaagd systeem maken. Wel de mogelijkheid om ingelogd te blijven. Maar bij sommige gevoelige data moet je die sessie je wachtwoord opgeven. Dan heb je een mix van gebruikersvriendelijkheid en veiligheid. (Zoiets heeft LinkedIN bijvoorbeeld, totdat je dingen gaat wijzigen ben je wel ingelogd maar hoef je niet je wachtwoord te geven)
@Wouter: enerzijds geef ik je gelijk. Maar ik zie het al gebeuren dat collega 1 pauze neemt en collega 2 even besluit om eens in het cms van zijn collega te snuffelen om te kijken waar deze mee bezig is. En inderdaad, dat is allesbehalve netjes van collega 2, maar ik wil dit soort situaties graag voorkomen. (Denk bijv. aan een vertegenwoordiger die wil zien met welke klanten zijn collega bezig is.)
@TJVB: dat is inderdaad een goede tip, maar er vanuitgaande dat je altijd iets moet wijzigen (waarvoor zit je anders in het cms) zou dit betekenen dat je toch nog altijd je wachtwoord moet invoeren. Per saldo schiet je er dan niet heel veel mee op.
@Wouter: enerzijds geef ik je gelijk. Maar ik zie het al gebeuren dat collega 1 pauze neemt en collega 2 even besluit om eens in het cms van zijn collega te snuffelen om te kijken waar deze mee bezig is. En inderdaad, dat is allesbehalve netjes van collega 2, maar ik wil dit soort situaties graag voorkomen. (Denk bijv. aan een vertegenwoordiger die wil zien met welke klanten zijn collega bezig is.)
@TJVB: dat is inderdaad een goede tip, maar er vanuitgaande dat je altijd iets moet wijzigen (waarvoor zit je anders in het cms) zou dit betekenen dat je toch nog altijd je wachtwoord moet invoeren. Per saldo schiet je er dan niet heel veel mee op.
@SanThe: niet iedere browser toch?
Tja, wat is dan wijsheid vraag ik me af.
Bij een soort van backoffice zou ik het eerlijk gezegd niet opslaan, bij frontend gebruikers zou het in principe kunnen met een gelaagd systeem zoals TJVB zegt. Je wilt namelijk niet dat je automatisch inlogd op een backoffice. Je krijgt van iemand een linkje toegestuurd en zonder dat je het weet klik je ergens (of via js bijvoorbeeld) en gaat er een post request die vrolijk een aantal dingen wijzigd in je cms. Puur omdat je automatisch ingelogd bent. Gewoon beide velden leeg laten.
Wel humor... ik heb nu eigenlijk 3 reacties... die allemaal iets anders aanraden. Wouter adviseert om alle opties om gebruikersnaam / wachtwoord op te slaan aan te bieden, TJVB adviseert om met gelaagdheid te werken en Smur f adviseert weer om juist helemaal niks op te slaan.
Hmmm, veiligheidshalve neig ik tot nu toe het meest naar de optie om niks op te slaan.
Op zich kun je wel zeggen dat je de verantwoordelijkheid bij de gebruiker legt, maar daar gaat het juist vaak fout. Gebruikers kiezen bijna altijd voor de gemakkelijke weg en dat is om het op te slaan en je wilt je gebruikers toch wel tot een zekere hoogte beschermen voor dat soort dingen.
