[Proposta] Miglioramento del servizio "recupero password"

[miki92]

Spesso, anche involontariamente, sono capitato in topic dove si parlava del fatto di come fare quando un utente non ricorda la propria password ed il proprio indirizzo e-mail di registrazione (o che ha altervista) è stato disattivato per un qualsiasi motivo.

A questo punto mi è venuto in mente di proporre queste due soluzioni (ma penso che la prima sia quella più fattibile):

1) Oltre al recupero password tramite e-mail lo si potrebbe fare tramite domanda/risposta segreta o tramite qualche codice che altervista spedisce nel momento della registrazione e che l'utente può sempre trovare nel pannello di controllo (se per caso perde l'email).

2) Un controllo periodico con tanto di conferma dell'appartenenza dell'e-mai presente nel database di AlterVista.

Voi che ne pensate? Apro un sondaggio per tener conto delle vostre opzioni.

Pregherei però gli utenti di non postare anche il proprio voto ma di postare solo se c'è qualche dubbio o qualche altra cosa non presente nel sondaggio.

[finalgalaxy]

Vanno bene tutte e due le proposte.

[miki92]

Grazie del voto...spero che siano in tanti ad aderire a questo sondaggio.
Pregherei però gli utenti di non postare anche il proprio voto ma di postare solo se c'è qualche dubbio o qualche altra cosa non presente nel sondaggio.

Grazie

[orbito]

N° 1

Ciao!

1° :)

Anche perchè ho un account di cui: l'email è stata annullata e la password non la ricordo...

[miki92]

1° :)

Anche perchè ho un account di cui: l'email è stata annullata e la password non la ricordo...

Ho aperto questo topic perchè non sei l'unico...in una ricerca su "antiche cose" di AlterVista mi sono imbattuto in molti topics dove tutti dicevano la stessa cosa..."mi hanno annullato la mail come faccio a recuperare la password?" poi ricordo che c'è un recente topic...quindi credo che la cosa non sia finita qui...mi sa che può continuare...

Cioè ammettiamo che io non uso per del tempo la mia casella e-mail per un motivo o per un altro (guasti al pc, ad internet, lavoro, ecc) e mi viene disattivata la casella...dopo del tempo mi dimentico la password...come faccio ad accedere al sito?

Semmai nel caso della domanda segreta AlterVista tramite scripts (come fanno già molti providers) potrebbe mostrare all'utente se la risposta inserita è complessa, facile...sapete...uno di quei script che in realtà controllano la lunghezza della password e l'esistenza di caratteri alfanumerici + simboli (quali @, #, ~, ecc).

[soccerclub]

Non capisco, a che servirebbe la 1?
1-Se il codice viene spedito via e-mail e a uno è stata bloccata la propria casella come lo vede?

2-Se ha dimenticato la password come lo vede nel pannello di controllo?
Se mi togli questi dubbi voto

[miki92]

Beh naturalmente io ho detto la mia...poi ognuno è libero di modificare con la sua opinione.

Il codice di cui parlo dovrebbe (a parer mio) essere inviato insieme all'e-mail di conferma attivazione sito...cioè ti viene spedita la prima mail per confermare l'e-mail...poi confermato tramite link ti viene spedita la mail di benvenuto con i dati e questo codice che l'utente (responsabile) dovrebbe conservarsi con cura.

Specie una password alternativa ma non modificabile. Un codice che può variare dalle 4-5 lettere/numeri fino ad un tot di...boh non lo so...penso che un codice a dai 4-5 ai 7 caratteri sia abbastanza sicuro.....poi...dite la vostra

[foreach]

Io per tutte e due.

Io ho molti account qui con diversi email e diverse password, se capita che ad un account non mi ricordo la password e non so quale dei miei tanti indirizzi email ho assegnato, come faccio?


Appunto vanno bene tutte e due...



foreach

[dapeco]

Il problema è che andrebbe sempre mantenuto aggiornato il profilo con un indirizzo email valido (indirizzi email che diventano invalidi da un giorno all'altro sono molto rari), stampata la email di conferma con i dati, aggiornati i software presenti sull'account, mai modificare la password assegnata con una troppo facile, mai dare le proprie credenziali ad altre persone, mantenere pulisto il proprio pc.

Passiamo alle proposte:
1. inefficace, lo dimostrano i vari fornitori di email con tale procedura: le email vengono violate semplicemente con un po' di ingegneria sociale da 4 soldi o conoscendo molto bene la persona (i.e. molte persone sanno come si chiama il mio gatto, o il cognome di mia madre o la mia prima auto). Il codice non ha senso, poiché se rimane nel pannello è di nessuna garanzia, tantomeno se è inviato alla registrazione (visto che tanto la email di sicuro finisce persa o nell'indirizzo email ormai eliminato).

2. Il controllo può anche essere fatto, ma se la verifica è poi inutile: se la email non è esistente (o piena o quel che è) non ci sarà modo di fare la richiesta al webmaster, se non lo è può diventare molto fastidioso, se l'account viene compromesso i problemi raddoppiano.

Credo inoltre che se il servizio fosse a pagamento le richieste calerebbero notevolmente, infatti molte delle persone che richiedono con insistenza il reset manuale in realtà sono ancora in grado di recuperare le loro credenziali: è solo una questione di pigrizia se non si superficialità.

[miki92]

Passiamo alle proposte:
1. inefficace, lo dimostrano i vari fornitori di email con tale procedura: le email vengono violate semplicemente con un po' di ingegneria sociale da 4 soldi o conoscendo molto bene la persona (i.e. molte persone sanno come si chiama il mio gatto, o il cognome di mia madre o la mia prima auto). Il codice non ha senso, poiché se rimane nel pannello è di nessuna garanzia, tantomeno se è inviato alla registrazione (visto che tanto la email di sicuro finisce persa o nell'indirizzo email ormai eliminato).

Bene proprio per questo allora si potrebbe utilizzare domande preimpostate...che ne sò...qualcosa che solo l'utente può conoscere...

Per il codice possiamo anche bocciare la proposta oppure modificarla leggermente:

Dal momento che, AlterVista possiede un gateway SMS (sola ricezione se non erro), si potrebbe fare in modo che l'utente abbia la possibilità di reimpostare la password tramite 1 sms inviato ad un determinato numero... (naturalmente io propongo poi discutiamo...e se la proposta sembrerebbe andar bene si pensa al tutto).

[dapeco]

Bene proprio per questo allora si potrebbe utilizzare domande preimpostate...che ne sò...qualcosa che solo l'utente può conoscere...

Se n'è discusso parecchio, ma di fatto una domanda segreta è utile solo se anche la risposta è facilmente ricordabile dall'utente, domande precise di un certo tipo sono poi difficilmente rispondibili anche dallo stesso utente. (esempio: a che età hai dato il primo bacio?)

Per il codice possiamo anche bocciare la proposta oppure modificarla leggermente:

Dal momento che, AlterVista possiede un gateway SMS (sola ricezione se non erro), si potrebbe fare in modo che l'utente abbia la possibilità di reimpostare la password tramite 1 sms inviato ad un determinato numero... (naturalmente io propongo poi discutiamo...e se la proposta sembrerebbe andar bene si pensa al tutto).

Non c'è verifica oggettiva che sia proprio il webmaster a richiedere il reset, proprio perché l'accesso al pannello è compromesso.

Attualmente la verifica manuale è quella più efficace, lunga ed a bassa priorità: ripeto che non è un servizio dovuto ed è responsabiltà di ogni utente di conservare nel miglior modo le proprie credenziali di accesso ai servizi.

per la numero 1 in parte.
Solo sulla parte del codice. Magari un codice di 30 cifre che l'utente si salva da qualche parte..però sulla risposta segreta sono contro, perchè un amico qualsiasi che mi conosce, potrebbe indovinarla!

[miki92]

Sono d'accordo con voi...ma non c'è modo di trovare una soluzione alternativa (che ne so...semmai un secondo indirizzo e-mail) per il recupero della password?

Se si riuscisse ad avere un modo alternativo ci sarebbero meno topic sul come recuperare la password quando la casella e-mail è stata bloccata/rubata/cancellata...

Non lo dico solo per me ma anche per gli altri. Precedentemente avevo uno spazio (che poi ho cancellato) dove avevo dimenticato la password e google mi aveva disattivato la casella e-mail...quindi non potevo più entrare ne ricevere la password e nello spazio c'erano file che mi servivano per urgenza (e sinceramente dato che avevo il pc in assistenza avevo caricato 10 word importantissimi per la scuola che poi ho scaricato e cancellato con il sito) e senza password non potevo prelevarli...poi fortunatamente mi sono ricordato la password (ho tantissime pass da ricordare e mi ero dimenticata proprio la più importante).

E' vero che ci vuole anche un po' di responsabilità ed accuratezza da parte dei webmaster ma anche altervista per aumentare la sua "potenza" potrebbe fornire maggiori alternative al recupero password.

[dapeco]

per la numero 1 in parte.
Solo sulla parte del codice. Magari un codice di 30 cifre che l'utente si salva da qualche parte..però sulla risposta segreta sono contro, perchè un amico qualsiasi che mi conosce, potrebbe indovinarla!

Andrebbe persa come le credenziali, o la password della mail etc.

Io ho votato la 1 però senza codice...e dopo ci vorrebbe anche il recupero username...semmai uno a la password e l'indirizzo email...
Ciao! ^^

[miki92]

Bah, io direi che per l'user non ce ne sia bisogno perchè bene o male uno deve ricordarselo...più per la password...cioè fin'ora una sola persona (che mi è capitata sul forum) ha detto di essersi dimenticato l'user e la pass...quindi per me resta ancora fisso il pensiero di un eventuale recupero password alternativo.

Ciao, sono d'accordo con la proposta di Miki92.
Se è vero che è responsabilità del webmaster conservare con cura i dati di accesso, è anche vero che può capitare la perdita di questi dati, magari perchè la vecchia email è stata disattivata (con il vecchio indirizzo @virgilio.it mi è successo così, la ID non viene più riconosciuta e non è possibile ricrearlo), quindi perchè non tentare con un'alternativa?

[miki92]

Ciao pixelative, io l'ho proposto ora si deve solo capire se la proposta è fattibile e nel caso sia positiva la risposta bisogna trovare il metodo alternativo.

Purtroppo come avrai potuto capire il metodo alternativo è molto difficile da trovare per questioni di sicurezza. Quindi non ci resta che pensare, pensare e pensare finchè non riusciremo a trovarlo...