Op het internet zijn er zo veel verschillende meningen hierover dat ik benieuwd ben hoe er op phphulp over gedacht word.
Ik heb een gebruikerssysteem op een vrijwilligerswebsite. De gebruikers kunnen door 2 personen worden aangemaakt (de website admin en de coördinator vrijwilligersmanagement). Er word automatisch een random wachtwoord gegenereerd bij het aanmaken van nieuwe gebruikersaccounts. Deze word per e-mail aan de vrijwilliger gestuurd (die bij de eerste inlog verplicht is deze te wijzigen voordat deze ook maar iets kan doen binnen de vrijwilligerswebsite).
Nu gaat het ongetwijfeld gebeuren dat vrijwilligers hun wachtwoord vergeten. Wat is de beste manier om een gebruiker hun wachtwoord te laten resetten?
Zelf denk ik dat de volgende manier in deze situatie een goede oplossing is:
De gebruiker gaat naar het inlogscherm en drukt op "wachtwoord vergeten." Vervolgens moet deze de zijn e-mail adres opgeven (welke bekend is in het systeem) en aangeven bij welk onderdeel deze persoon vrijwilliger is (er zijn ongeveer 10 onderdelen waar iemand vrijwilliger kan zijn).
Er word dan een token gegenereerd van 20 tekens (combinatie van kleine letters, hoofdletters en leestekens) die per e-mail aan de vrijwilliger verzonden word. Er word tevens bijgehouden wanneer deze token gegenereerd is. Na 3 uur vervalt de token en moet er een nieuwe token aangevraagd worden.
In de e-mail staat een link die de gebruiker kan gebruiken om het wachtwoord te veranderen. Daar moet de token worden opgegeven en weer het e-mail adres en welk onderdeel de gebruiker vrijwilliger is. Alleen als die 3 punten overeen komen kan de vrijwilliger een nieuw wachtwoord opgeven.
Concreet zijn mijn vragen:
1. Wat is jullie mening over de veiligheid van deze werkwijze?
2. Is er een betere manier, rekening houdend met het feit dat dat de helft van de vrijwilligers boven de 70 zijn en al blij zijn te weten hoe een computer aan moet en hoe zij naar een website kunnen surfen.
3.007 views
