Ik heb bij de inlogpagina de mogelijkheid om een vergeten wachtwoord te resetten.
Dat geldt ook bij een vergeten gebruikersnaam.
Nu heb ik een uniek lidnummer.
Ik zou in de welkomstmail dit nummer eenmalig kunnen vermelden.
Daarmee zou bij het kwijtraken van zowel ww en gebruikersnaam eventueel
ingelogd kunnen worden (wachtwoord en gebruikersnaam resetten ?)
Is dat een redelijke mogelijkheid?
Of de gebruikersnaam vermelden?
Het emailadres is natuurlijk ook uniek.
Ik werk liever niet (meer) met persoonlijke vragen....
Of gewoon berichtje naar de beheerder ?
[quote="- Ariën - op 28/10/2017 00:32:38"]
Waarom niet meteen je mailadres als gebruikersnaam laten gebruiken, net als hier op PHPhulp?
Die vergeet iemand niet zo snel, en is zelfs uniek.
E-mail is niet altijd uniek. Soms delen gezinsleden hun e-mailadres.
Jan
[/quote]
Hier gaat de schaats scheef rijden. Al wordt een mailadres door meerdere mensen gebruikt, het mailadres zelf is nog altijd uniek.
Daarbij komt dit tegenwoordig in mindere maten voor door de digitalisering en we hebben ook altijd nog een wachtwoord nodig om in te loggen. Dat dan geen twee gezinsleden die hetzelfde mailadres gebruiken een account kunnen aanmaken is dan mogelijk een nadeel.
Overigens gaat het er in dit topic om het resetten van een vergeten wachtwoord. Hier is het gebruik van het mailadres dan ook de beste keuze omdat je via de mail kan zorgen dat de reset-link enkel bij de juiste persoon (of personen voor Jan) komt.
Ik heb nu de mogelijkheden ingebouwd :
Wijzigen wachtwoord als je al ingelogd bent.
Wachtwoord vergeten.
Gebruikersnaam vergeten.
Gebruikersnaam wijzigen (nog in opbouw)
Hoewel alles in beschermde omgeving gebeurt,
vind ik een enkele validatie met uitsluitend email beetje eng.
Zeker de website waar ik mee werk.
De emails van artiesten zwerven als communicatiemiddel door heel Nederland, en daarbuiten.
Op flyers,(visite)kaartjes, enz.
Maar zal meer een gevoelskwestie zijn.
Google gebruikt een aantal methodes.
Invullen eerder gebruikt password opgeven eerst.
Passwords die je het afgelopen jaar niet hebt gebruikt.
Gebruikersnamen niet gelijk aan Passwords.
Unieke persoonlijke controlevragen.
SMS verificatie.
Emailverificatie.
Email verificatie via ander emailadres als gewoon.
Ik denk dat ik een mix doe van jullie opmerkingen, als dat eenvoudig kan.
Inloggen met password, in combinatie met keuze email of gebruikersnaam.
En wachtwoord vergeten met uitsluitend email.
Two factor authentication is inderdaad een goede oplossing. Ik ben zelf erg weg van de SMS verificatie alleen als je dat als gebruiker voor iedere login moet toepassen wel weer erg omslachtig en werkt het dus belemmerend. Maar je kan er ook voor kiezen om de sms verificatie alleen toe te passen voor registratie, profiel en wachtwoord aanpassingen. Nadeel is uiteraard dat je een aanvullende dienst/hardware nodig hebt.
[size=xsmall]Toevoeging op 28/10/2017 13:34:28:[/size]
[edit]
Je kunt ook eventueel de gebruiker vragen of hij gebruik wil maken van two factor authentication zodat je meer gebruikers tevreden stelt.
[quote="- Ariën - op 28/10/2017 00:32:38"]
Waarom niet meteen je mailadres als gebruikersnaam laten gebruiken, net als hier op PHPhulp?
Die vergeet iemand niet zo snel, en is zelfs uniek.
E-mail is niet altijd uniek. Soms delen gezinsleden hun e-mailadres.
[/quote]
Bij mij is het precies andersom: ik gebruik op elke site een ander emailadres. Ik zit me nog wel eens af te vragen of ik een .nl of een .com-adres gebruikt heb voor een bepaalde website... ;-)
[quote="Jan R op 28/10/2017 10:30:58"]
[quote="- Ariën - op 28/10/2017 00:32:38"]
Waarom niet meteen je mailadres als gebruikersnaam laten gebruiken, net als hier op PHPhulp?
Die vergeet iemand niet zo snel, en is zelfs uniek.
E-mail is niet altijd uniek. Soms delen gezinsleden hun e-mailadres.
[/quote]
Bij mij is het precies andersom: ik gebruik op elke site een ander emailadres. Ik zit me nog wel eens af te vragen of ik een .nl of een .com-adres gebruikt heb voor een bepaalde website... ;-)
[/quote]
Bij mij (bijna) ook maar niet bij al mijn leden.
Ik heb toch nog een opmerking...
Om je wachtwoord te resetten (of de gebruikersnaam) zit je uiteraard buiten de inlogprocedure.
Dus als iemand je emailadres heeft (zoals vaak is bij artiesten) dan kan hij je email overspoelen
met mededelingen dat je het wachtwoord kunt resetten met wachtwoordlink.
Ik neem aan dat de hash ook opgeslagen wordt.
Zou dan toch overwegen om elke aanvraag te checken op een reeds aanwezige hash.
En dan de het verzoek blokkeren gedurende de tijd dat de aanvraag geldig is.
Heb het even geprobeerd met de reset van PHPhulp....
Ik heb toch nog een opmerking...
Om je wachtwoord te resetten (of de gebruikersnaam) zit je uiteraard buiten de inlogprocedure.
Dus als iemand je emailadres heeft (zoals vaak is bij artiesten) dan kan hij je email overspoelen
met mededelingen dat je het wachtwoord kunt resetten met wachtwoordlink.
Klopt, daarom raad ik aan om een IP-adres mee te sturen in de mail. Mocht het uit de hand lopen kan het slachtoffer bij de beheerder melding doen. Natuurlijk kan je er een rem op zetten, zodat ze maar 1 keer per 5 minuten iets mogen opvragen. De lol voor de grapjas is er dan snel vanaf.
Wanneer er nu bij mij wordt aangevraagd, dan wordt die value in de email opgeslagen op de server.
En na de wijziging wordt die value op NULL gezet.
Dus als er in de opslag een waarde staat, kun je toch ook op grond daarvan verdere aanvragen blokkeren.
Dan hoeft de ontvanger van de mail maar 1 keer te reageren (wachtwoord wijzigen of zelfde wachtwoord).
Na de max. tijd dat er response verwacht wordt, de value automatisch naar NULL. zetten.
En maatregelen nemen.... De email stuurder hoeft geen lid te zijn....
