Ik heb bij de inlogpagina de mogelijkheid om een vergeten wachtwoord te resetten.
Dat geldt ook bij een vergeten gebruikersnaam.
Nu heb ik een uniek lidnummer.
Ik zou in de welkomstmail dit nummer eenmalig kunnen vermelden.
Daarmee zou bij het kwijtraken van zowel ww en gebruikersnaam eventueel
ingelogd kunnen worden (wachtwoord en gebruikersnaam resetten ?)
Is dat een redelijke mogelijkheid?
Of de gebruikersnaam vermelden?
Het emailadres is natuurlijk ook uniek.
Ik werk liever niet (meer) met persoonlijke vragen....
Of gewoon berichtje naar de beheerder ?
Waarom niet meteen je mailadres als gebruikersnaam laten gebruiken, net als hier op PHPhulp?
Die vergeet iemand niet zo snel, en is zelfs uniek. Aan de hand daarvan kan je een username op de site tonen die bij de registratie bedacht is.
Tevens voorkom je ook zo dat iemand onbedoeld een dubbel account aanmaakt, als diegene niet meer weet dat hij/zij geregistreerd was.
Ik zou de keuze kunnen laten. Email of gebruikersnaam.
En op de pagina waar de persoonlijke gegevens staan
de gebruikersnaam tonen.
Heb al zoveel mogelijkheden gezien, dat ik door de bomen
het bos niet meer zag.
Bedankt voor het juiste spoor...
en deze link naar het mailadres versturen. Vervolgens op de php pagina waar de gebruiker terecht komt aan de hand van de hash proberen de juiste user te vinden uit de database.
SELECT user_id FROM users WHERE hash='bb21158c733229347bd4e681891e213d94c685be' LIMIT 1
indien goed laat de gebruiker twee maal een nieuw password intoetsen en indien fout geef een 403 forbidden.
Stel ook een tijdslimiet in voor resetten van wachtwoorden, zeg maar iets van 1x per 24 uur.
indien goed laat de gebruiker oud password en twee maal nieuw password intoetsen
Euh... het idee achter een password reset is dat de gebruiker zijn wachtwoord is vergeten. Iets in mij zegt dat je dan niet naar zijn oude wachtwoord moet vragen. ;-)
Dat is enkel bij een password change. De gebruiker is dan ingelogd met zijn oude wachtwoord en wil dit wachtwoord veranderen
[aangepast]
[size=xsmall]Toevoeging op 28/10/2017 09:29:12:[/size]
- Ariën - op 28/10/2017 00:46:20
Waarom de keuze maken of ze willen inloggen met een mailadres of een gebruikersnaam?
Met een mailadres ben je altijd uniek.
Ik snap dat inloggen met een gebruikersnaam al helemaal niet. De nadelen wegen niet op tegen de voordelen. Een gebruikersnaam moet dan om die reden al uniek zijn. Twee keer een Frank dat gaat dus niet. (Er kunnen wel goede andere redenen zijn om unieke gebruikersnamen te hanteren. Op een forum als deze is het wel handig omdat iedereen de leden dan goed van elkaar kan onderscheiden maar op een website waar leden helemaal niet met elkaar bezig zijn zou ik dan noodgedwongen mijn naam moeten veranderen). In namen komen speciale tekens voor zoals een klinker met een trema bijvoorbeeld waarmee je dus rekening moet houden.
Daartegen kun je een email kolom best op uniek zetten en is deze altijd juist of anders krijgt de gebruiker zijn bevestigingslink niet binnen in zijn email box. Ook weet iedere gebruiker zijn mailadres, heel wat beter dan een frank12 :-(
Het mailadres om mee in te loggen is niet iets wat openbaar hoeft te zijn. Het is puur een identificatiemiddel. Maar voor beheerder kan het weer handig zijn ;-)
Opsich is de gedachte om oude passwords op te geven niet zo heel slecht. je ziet het niet vaak meer, maar MSN (kennen we dat nog) bood vroeger die mogelijkheid. Ik mag hopen dat dit met eerdere hashes worden vergeleken, punt is dan wel dat de password's exact moeten overeenkomen. Iemand die 'Pasta1234' heeft, kan dan niet zeggen dat 'pasta1234' zijn password was.
Verder is kan je met het opslaan van oude wachtwoord-hashes ook zorgen dat iemand een om de zoveel tijd een nieuwe password moet afdwingen die niet gelijk is aan zijn vorige. Het is net hoe belangrijk je applicatie is. Maar als je na 'Boterham1234' het nieuwe wachtwoord 'boterham1234' kiest, dan kan dat gewoon, als het veilig in hashes wordt opgeslagen.
