• User

    Curiosità: come vi piacerebbe fosse gestito in un sito web il cambio password?

    Ciao a tutti 😉

    questa settimana mi trovo a gestire un bel malippo (espressione bolognesissima). Google mi ha segnalato che alcune password sono state compromesse e ho, aiuto, 155 password da cambiare.

    Dovendo quindi gestire l’attività in massa, mi viene naturale confrontare il processo di cambio password nei vari siti dove ho un account. Nonostante si tratti di un’attività semplicissima, viene gestita dai vari portali in tanti modi diversi (in alcuni siti è quasi una caccia al tesoro!).

    Queste sono le cose principali che ho notato:

    • DOVE: la gestione della password non si trova sempre nello stesso posto, a volte è all’interno delle info dell'account, a volte sotto la voce “Impostazioni”, altre in “Privacy”, altre hanno una sezione apposita. In altri sembra che l’unico modo sia cliccare su “Hai dimenticato la password”.
    • COME: in alcuni siti viene chiesto di inserire la vecchia password per poter validare poi la nuova. In altri semplicemente si può inserire la nuova password e salvare (senza quindi inserire la vecchia). In altri siti assieme al cambio password viene inviato un code di verifica via SMS.
    • DOPO: alcuni siti non danno alcuna comunicazione via email dell’avvenuto cambio password. Alcuni siti mandano una email di notifica con la nuova password IN CHIARO all’interno della email. Altri siti segnalano il cambio password - senza indicare quale - ma segnalando come agire nel caso in cui si tratti di un abuso.

    Vorrei quindi chiedervi: come vi piacerebbe venisse gestito il cambio password in un sito web? Cosa vi agevolerebbe? Cosa invece vi irrita?

    Mi piacerebbe sapere anche il parere di chi possiede un sito web con area riservata e si è trovato a compiere delle scelte a riguardo. Cosa vi ha spinto in una direzione oppure in un’altra?

    Un saluto a tutti e grazie! 😉


    mirkomassarutto 1 Risposta
  • User Attivo

    Ciao @elycontessotto , personalmente per il cambio password io chiedo sempre una verifica via e-mail o sms.
    Faccio un distinguo però: il cambio password è una cosa la richiesta di modificarla un'altra. Quindi espongo i due flussi che utilizzo abitualmente

    Cambio Password

    1. Si suppone che l'utente sia loggato, quindi dall'area riservata avrà una call-to-action specifica
    2. Chiedo la password precedente (se non la sa può fare il modifica password... anche se normalmente non mantengo l'accesso troppo a lungo)
    3. Chiedo la nuova password
    4. Chiedo la conferma della nuova password
    5. Convalido la password nuova
    6. Invio E-Mail/SMS all'utente indicando orario ed IP dell'avvenuta modifica invitandolo eventualmente, attraverso link apposito (che dura 24h), a modificare nuovamente la password in caso di violazione.

    Recupero Password

    1. L'utente chiede di recuperare la password
    2. Chiedo indirizzo email o numero SMS
    3. Invio un link che consente di modificare la password (durata 1h)
    4. Cliccando sul link l'utente può generare la nuova password

    In casi più "restrittivi" per il cambio password invio un link via email ed un codice via SMS per confermare l'identità. Questa soluzione però ha un bug: se non hai più il numero telefonico o non hai più accesso alla mail sei fermo. Ripeto però che mi è capitato di usarlo solo un paio di volte in casi un po' particolari.