Proposta miglioramento servizio reset password

[miki92]

Buonasera cari amici di AlterVista,
oggi (ore 0.08) ho ricevuto un nuova richiesta di reset password per questo mio account (miki92) e dato che sto ricevendo richieste uguali da circa un mese ad oggi (periodicamente) oggi mi sono proprio rotto (scusate il termine) ed ho deciso di proporre:

Perchè al posto di ricevere la password per mail non riceviamo un link che una volta aperto esso ci permetterà di impostare a noi una password (oppure la può generare altervista e poi spedircela).

Questo sistema richiederebbe un passaggio in più ed un piccolo sacrificio da parte di AlterVista ma risolverebbe questo mio problema...cioè io salvo le password in alcuni browser se mi viene resettata devo ricambiare password ed accedere, mentre con il sistema che propongo io si eviterebbero queste rogne...

Lascio la parola ed il voto a voi...

Scusa ma per cambiare la password devono sapere i tuoi dati...o mi sbaglio?


CIao!

Scusa ma per cambiare la password devono sapere i tuoi dati...o mi sbaglio?

Mi sembra che basti la mail e il nick...

In caso ne servano degli altri (oltre al Nome e Cognome che non sono difficili da reperire) significa che da qualche parte con la tua mail sono riusciti a risalire che ne sò al tuo contatto su facebook o su qualche altro sito dove sono presenti i tuoi dati... Ciao

[miki92]

Si è vero per richiedere il reset password basta il nick e l'e-mail...però è questo il problema e che la mail utilizzata per l'account miki92 nessuno la conosce in quanto la sfrutta il mio sito per inviare mail a me! Non possono averla reperita!!!

[Mirio]

bè a mio avviso è molto utile ciò che dice miki92 però anche sopratutto segnalare l'ip della persona che lo ha richiesto oltre anche il link di reset così da poter riuscire a carpire chi è ^^

segnalare l'ip della persona che lo ha richiesto

E che ci fai con l'Ip? Non ci fai nulla... Anche se ti hackerebbero il sito e avresti il loro ip non ci fai nulla!

Poi anche se ci potresti fare qualcosa, puoi sempre nasconderlo ad esempio con Tor...

Edit: AlterVista dovrebbe aggiungere l'opzione per aggiungere una domanda segreta nel proprio profilo, in questo modo anche se sai il nick e la mail, se non sai la risposta segreta non fai un tubo

@miki92: Non è vero... mi è bastato cliccare nella tua firma su donate per vedere qual'è la tua e-mail (michela*********@gmail.com), e secondo me la tua mail l'hai lasciata anche in altre parti Ciao...

[miki92]

E che ci fai con l'Ip? Non ci fai nulla... Anche se ti hackerebbero il sito e avresti il loro ip non ci fai nulla!

Poi anche se ci potresti fare qualcosa, puoi sempre nasconderlo ad esempio con Tor...

Edit: AlterVista dovrebbe aggiungere l'opzione per aggiungere una domanda segreta nel proprio profilo, in questo modo anche se sai il nick e la mail, se non sai la risposta segreta non fai un tubo

@miki92: Non è vero... mi è bastato cliccare nella tua firma su donate per vedere qual'è la tua e-mail (michela*********@gmail.com), e secondo me la tua mail l'hai lasciata anche in altre parti Ciao...

Ma l'e-mail che ho associato a miki92 non è quella! Ti dico che l'e-mail che ho associato è @tim.it uno potrebbe conoscere il mio numero di cellulare, ma nemmeno se ne fa niente perchè ho impostato l'alias...quindi la mia mail è qualchecosa@tim.it.

Secondo me AlterVista quando invia una richiesta di reset password deve inviare una cosa del genere:

IP+DATA/ORA+LINK PER RESET+LINK ABUSO

IP --> Viene inviato anche attualmente, non è vero che non serve a nulla potrebbe servire.

DATA ORA --> Secondo me è sempre utile conoscere la data e l'ora di una richiesta, semmai con qualche controllo si può risalire a qualcuno.

LINK RESET --> Se cliccato la password viene modificata, altrimenti resta la setessa

LINK ABUSI --> Secondo me può essere sfruttato per inviare una notifica ad altervista riguardante questa segnalazione in modo tale che chi di dovere può prendere provvedimenti se questa cosa (come nel mio caso) succede troppo spesso.

LINK RESET --> Se cliccato la password viene modificata, altrimenti resta la setessa

Non sono affatto d'accordo...
Anche se non ti cambia la password ti può mandare decine e decine di mail al giorno dal recupero password anche se la pass non ti viene cambiata, e successivamente dovresti mettere tutte le mail di AlterVista come Spam per sopravvivere...

Io te l'ho detto... Tutti i servizi, che ne sò, virgilio, msn, yahoo ed altri utilizzano la domanda segreta, questa è l'unica soluzione:

Nick, Mail e Domanda Segreta...

Riguardo alla tua casella, se le richieste ti vengono inviate significa che la mail la è riuscita a trovare, quindi significa che magari su qualche forum su internet dove usi lo stesso nick magari hai in profilo la mail @tim.it...

Da qualche parte l'ha pescata

Stammi bene...

[miki92]

superproxy scusami la mia insistenza ma continuo a ripeterti che la mail @tim.it non è mai stata utilizzata (o almeno l'alias non è mai usato) detto questo posso dirti che avevo aperto un altro topic dove consigliavo la domanda segreta ma le risposte da parte dello staff sono state negative.

Riguardo al problema delle mail mi sembra logico che se continui a ricevere sempre mail segnalerai la cosa ad AlterVista o alla polizia postale che poi prenderà provvedimenti no?

Una cosa e che a te giungono solo delle mail...ed una cosa e che ogni tot di tempo devi reinserire le password di altervista qua e là...

[dreadnaut]

Miki92, su google si trovano tuoi indirizzi @tim.it, verifica che non sia lo stesso. Per il resto, e' possibile richiedere il recupero password anche solo con nome, cognome e citta', quindi non e' troppo difficile.

Il problema era gia' sorto in precedenza, e per come si era rimasti si stavano valutando altri sistemi di recupero, che probabilmente sono apparsi meno efficaci. Puo' darsi che questa discussione riporti a galla la cosa, ma come sempre bisogna aspettare informazioni dall'alto.

Occhio all'OT: evitiamo di trasformarla pero' in una discussione sul caso particolare.

Miki92, su google si trovano tuoi indirizzi @tim.it, verifica che non sia lo stesso.

Quoto e straquoto dreadnaut

Si anche io prima ho cercato su google e ho trovato molte cose su di te (anche altre che non c'entrano), anche la pagina del tuo contatto msn e mi sembra anche l'indirizzo @tim.it, ti conviene verificare...

Puo' darsi che questa discussione riporti a galla la cosa, ma come sempre bisogna aspettare informazioni dall'alto.

Speriamo, almeno con una domanda segreta evitiamo tutta una serie di imprevisti; sono anzioso di sapere altre novità!

EDIT: miki92 ti ho mandato un pm per la tua mail @tim.it

[miki92]

Miki92, su google si trovano tuoi indirizzi @tim.it, verifica che non sia lo stesso. Per il resto, e' possibile richiedere il recupero password anche solo con nome, cognome e citta', quindi non e' troppo difficile.

Il problema era gia' sorto in precedenza, e per come si era rimasti si stavano valutando altri sistemi di recupero, che probabilmente sono apparsi meno efficaci. Puo' darsi che questa discussione riporti a galla la cosa, ma come sempre bisogna aspettare informazioni dall'alto.

Occhio all'OT: evitiamo di trasformarla pero' in una discussione sul caso particolare.

Quoto e straquoto dreadnaut

Si anche io prima ho cercato su google e ho trovato molte cose su di te (anche altre che non c'entrano), anche la pagina del tuo contatto msn e mi sembra anche l'indirizzo @tim.it, ti conviene verificare...



Speriamo, almeno con una domanda segreta evitiamo tutta una serie di imprevisti; sono anzioso di sapere altre novità!

EDIT: miki92 ti ho mandato un pm per la tua mail @tim.it

Bah...apporterò nuove modifiche a tutti i profili che possiedo su AlterVista con nuovi alias mail (anche se come ha fatto notare dreadnaut comunque si può resettare la password) comunque per ora posso affermare che tutti gli indirizzi che trovate sul web Ad esclusione di @gmail.com) sono tutti disattivati.

Superproxy grazie di avermi fatto notare quell'indirizzo sul sito, dedicandomi a messenworld mi sono dimenticato di aggiornare quel form contatti.

[AlexKidd]

La domanda segreta penso sia l'invenzione più stupida da quando esiste il web

Forse solo perchè è stata concepita male (domande stupide che richiedono risposte banali) ma spesso è la causa principale delle violazioni di un account

La registrazione dell'indirizzo ip invece è un buon deterrente, sopratutto se si avvisa l'utente (che il suo ip sarà registrato) prima di completare l'operazione

AlexKidd non hai capito, la domanda segreta non ti cambierà la password ma servirà solo come ulteriore metodo di conferma per inoltrarti la mail...

Poi se AV adotta questo metodo può optare per non personalizzare le domande da parte dell'utente...

Se la domanda è il cognome da nubile di tua nonna o dov'è nata dubito che tu possa mai sapere la risposta...

Poi deve vedere av il metodo ritenuto più sicuro...

Edit:

La registrazione dell'indirizzo ip invece è un buon deterrente, sopratutto se si avvisa l'utente (che il suo ip sarà registrato) prima di completare l'operazione

E quindi? Se io lo facessi a te e mi venisse registrato l'ip? Che cosa mi cambia? Che mi succede? E comunque l'ip è mascherabile...

[dreadnaut]

Poi la gente dimenticherebbe la risposta alla domanda segreta, e si lamenterebbe anche di questo.

A mio parere, l'unico miglioramento che mi viene in mente e' quello di inviare un link invece della password via email. Se l'utente clicca quel link la password viene effettivamente modificata/resettata, altrimenti no. In questo modo AV puo' avere una conferma del cambiamento, e l'utente puo' scegliere di ignorare l'email se questa non e' arrivata su sua richiesta.

Ovvio che dovrebbe preoccuparsi del perche' sia arrivata, e verificare la sicurezza dei suoi account di posta, ma almeno non deve tornare su AV per ri-cambiare la password.

Poi i ragazzini che non hanno di meglio da fare che provare a resettare password altrui si stancano dopo un po'.

Ok questo metodo va bene, ma potete anche limitare l'invio di mail per il recupero ogni 15 min?

Faccio un esempio:

Faccio la richiesta, ma la mail non mi è arrivata, la prossima richiesta deve avvenire 15 minuti dopo, e i controlli devono essere effettuati sul nick e non sui dati del client alterabili come cookies e ip...

In questo modo si eviteranno altri problemi, in aggiunta al link di verifica.

[miki92]

Poi la gente dimenticherebbe la risposta alla domanda segreta, e si lamenterebbe anche di questo.

A mio parere, l'unico miglioramento che mi viene in mente e' quello di inviare un link invece della password via email. Se l'utente clicca quel link la password viene effettivamente modificata/resettata, altrimenti no. In questo modo AV puo' avere una conferma del cambiamento, e l'utente puo' scegliere di ignorare l'email se questa non e' arrivata su sua richiesta.

Ovvio che dovrebbe preoccuparsi del perche' sia arrivata, e verificare la sicurezza dei suoi account di posta, ma almeno non deve tornare su AV per ri-cambiare la password.

Poi i ragazzini che non hanno di meglio da fare che provare a resettare password altrui si stancano dopo un po'.

Perfetto è questo che io voglio, un link di conferma...non resta che attendere risposte dall'alto.

Ok questo metodo va bene, ma potete anche limitare l'invio di mail per il recupero ogni 15 min?

Faccio un esempio:

Faccio la richiesta, ma la mail non mi è arrivata, la prossima richiesta deve avvenire 15 minuti dopo, e i controlli devono essere effettuati sul nick e non sui dati del client alterabili come cookies e ip...

In questo modo si eviteranno altri problemi, in aggiunta al link di verifica.

Mi dispiace ma sono contrario a questa tua opzione, al massimo si potrebbe fare che se dopo un tot di minuti non hai confermato il cambio password esso si annulla, ma ripeto la soluzione migliore per me è quella del link.

Anche se la tua password non verrà confermata potrai essere comunque tartassato di email (da parte di AV e non)...

Mi sembra che basti la mail e il nick...

In caso ne servano degli altri (oltre al Nome e Cognome che non sono difficili da reperire) significa che da qualche parte con la tua mail sono riusciti a risalire che ne sò al tuo contatto su facebook o su qualche altro sito dove sono presenti i tuoi dati... Ciao

Ops......ma io devo ancora capire che divertimento c'è a cambiare la password ad un utente....

CIao

[miki92]

Anche se la tua password non verrà confermata potrai essere comunque tartassato di email (da parte di AV e non)...

Sinceramente preferisco le e-mail al reinserimento di una password 10000 volte in un arco di tempo!
Comunque finiamola qua che non mi sembra appropriato, meglio parlarne in privato se vuoi...continuiamo con l'argomento base...chi è d'accordo e chi no...ai voti AV!

Ops......ma io devo ancora capire che divertimento c'è a cambiare la password ad un utente....

CIao

Già...vorrei saperlo anch'io...pensa che su Facebook un utente mi ha contattato e mi ha detto "sono stato io" non ho scoperto a quale scopo perchè purtroppo il pc era tutto inceppato...ma appena lo rivedo in linea mi faccio due chiacchiere con questo...

Già...vorrei saperlo anch'io...pensa che su Facebook un utente mi ha contattato e mi ha detto "sono stato io" non ho scoperto a quale scopo perchè purtroppo il pc era tutto inceppato...ma appena lo rivedo in linea mi faccio due chiacchiere con questo...

e come ti ha rintracciato su facebook? come faceva a sapere che eri tu? mistero della fede...emhè questo è il prezzo da pagare per essere famosi...

CIao!

[miki92]

Perchè io sono famoso? I miei siti hanno tutti nome e (parte del) cognome in fondo alla pagina, nel copyright o footer. E' facile rintracciarmi su facebook.

[/FINE OT]

[INIZIO OT]Scusa, ma basta non mettere informazioni personali e non ti succede niente, vedo che ne hai messe una valanga.

Ad esempio, ora so che usi vanbasco karaoke player (anch'io, scambiamo karaoke?), che sei iscritto a ziogeek, che avevi un pc con windows me, e tante altre cose.
Hai fatto anche il sito http://micscotto.altervista.org/
P.S. Ora ti ho trovato su msn, posso aggiungerti? Io sono edocod [/OT]

Per me il servizio di cambio password va bene così.

[miki92]

Quel sito l'ho fatto perchè mi serve per motivi privati e devo per forza condividere quelle informazioni (specie come se fosse un curriculum on-line) io voglio migliorare il servizio di reset password per evitare che essa venga resettata senza che io lo richieda...lasciamo stare per un attimo il fatto degli utenti che conoscono o meno i miei dati o che mi vogliono resettare la pass...ammettiamo solo che io voglia migliorare il servizio in questo modo...voi che ne pensate...e questo che mi interessa maggiormente ora.

[OT]Certo aggiungimi pure su MSN.[/OT]

[Gianluca]

Il meccanismo di reset password è stato modificato, ora al posto della mail con la nuova password generata arriva un link, se cliccato la password viene modificata, e quindi arriva un'altra mail, altrimenti non capita nulla.

Rimane come prima registrato e comunicato al diretto interessato l'indirizzo IP di chi fa la richiesta.

[miki92]

Ottimo ti ringrazio per la bella notizia Gianluca.