Sichere Passwort-Rückstellungs-E-Mails

Passwort-Rückstellungs-E-Mails sind wahrscheinlich die allgegenwärtigste Art von E-Mails der Welt. Es ist praktisch unmöglich, eine Softwareanwendung ohne eine E-Mail-Benachrichtigung zum Zurücksetzen eines Passworts zu erstellen. In gewisser Weise ist diese Tatsache genau das, was das Design und den Inhalt einer E-Mail mit Passwortrücksetzung schwierig macht. Sie sind so verbreitet, dass sie leicht als selbstverständlich zu passwort für email vergesssen betrachten sind, aber es gibt einige subtile Details, die beeinflussen können, ob Ihre E-Mails mit Passwort-Rücksetzung großartig oder nicht so großartig sind.

Was sind die Ziele von Passwort-Reset-E-Mails?
Was sind einige wichtige Überlegungen oder häufige Fehler bei E-Mails mit Passwort-Rücksetzung?
Welche Informationen sollten in Passwort-E-Mails zum Zurücksetzen enthalten sein?
Die Checkliste
Die Vorlage für das Zurücksetzen des Passworts von Postmark
Ein Hinweis zu technischen Überlegungen #
Dieser Leitfaden konzentriert sich ausschließlich auf das Design und den Inhalt Ihrer E-Mails mit Passwort-Rücksetzung. Es gibt Dutzende wichtiger technischer Entscheidungen darüber, wie Sie mit Passwörtern umgehen, sowie über den Prozess und die Schnittstelle, die es Menschen ermöglichen, ihr Passwort zu ändern. Diese Taktiken sind von größter Bedeutung, aber sie liegen außerhalb des Umfangs dieses Leitfadens. Wenn Sie auf der Suche nach einer detaillierten Anleitung für Ihre technische Implementierung Ihrer Passwort-Rücksetzungsfunktion sind, sollten Sie mit dem Artikel von Troy Hunt beginnen: „Alles, was Sie schon immer über die Erstellung einer sicheren Passwort-Rücksetzungsfunktion wissen wollten“.

Sichere Passwort-Rückstellungs-E-Mails #
Eine technische Überlegung über den Prozess des Zurücksetzens von Passwörtern ist, wie man verhindert, dass Benutzernamen verloren gehen. Dieses Thema wird in Troys oben erwähnten Artikel behandelt, aber da es sich auf E-Mails bezieht, ist es sehr relevant für das, was wir hier diskutieren.

Im Idealfall möchten Sie niemals die Existenz eines Kontos mit einer bestimmten E-Mail-Adresse oder einem bestimmten Benutzernamen bestätigen oder leugnen. Dies geschieht am häufigsten, wenn eine Website eine Bestätigung anzeigt, ob ein Benutzername oder eine E-Mail-Adresse existiert, wenn eine Person versucht, sich anzumelden oder ihr Passwort zurückzusetzen. Möglicherweise haben Sie irgendwo eine Fehlermeldung gesehen, die in etwa so aussieht: „Wir konnten keinen Benutzer mit dieser E-Mail-Adresse finden.“ Die Konsequenz daraus ist, dass, wenn eine E-Mail-Adresse existiert, das Fehlen dieser Nachricht implizit die Existenz des Benutzerkontos bestätigt.

Das Problem ist, dass, wenn Sie nichts tun, um den Benutzer wissen zu lassen, ob Sie seine Adresse erfolgreich gefunden haben, es ein Usability-Problem verursacht. Was passiert, wenn sie ein Konto haben, sich aber mit einer anderen Adresse registriert haben? Sie möchten nicht immer nur sagen, dass eine E-Mail auf dem Weg ist. Was kannst du also tun? Glücklicherweise ist die Lösung einfach. Sie senden immer eine E-Mail an die angegebene E-Mail-Adresse. Der Inhalt dieser E-Mail ändert sich jedoch je nachdem, ob ein Benutzer mit dieser E-Mail-Adresse existiert. Deine Bestätigungsnachricht, die auf der Webseite angezeigt wird, würde einfach sagen: „Eine E-Mail wurde an (angegebene E-Mail-Adresse) mit weiteren Anweisungen gesendet“.

Bei diesem Ansatz bedeutet dies, dass Sie zwei verschiedene E-Mails benötigen, eine für jedes Szenario. Die erste wäre die primäre Reset-E-Mail mit einer URL und den normalen Anweisungen. Die andere E-Mail wäre eine Erklärung dafür, dass das Benutzerkonto nicht gefunden wurde und schlägt alternative Ansätze oder Möglichkeiten vor, den Support um Hilfe zu bitten.

Wenn der Benutzer existiert, senden Sie Ihre normale E-Mail zum Zurücksetzen des Passworts. Wenn der Benutzer nicht existiert, senden Sie eine andere E-Mail, in der Sie erklären, dass das Benutzerkonto nicht gefunden wurde, und vorschlagen, dass er eine andere E-Mail-Adresse versucht. Der Nachteil dieses Ansatzes ist, dass das Feedback nicht ganz so unmittelbar ist wie die Anzeige einer „user not found“-Nachricht direkt auf der Webseite, aber es macht es für andere Personen als den Inhaber der E-Mail-Adresse unmöglich, eine Liste von Benutzerkonten für einen bestimmten Dienst aufzuzählen.

Auf diese Weise wird Ihre Anwendung nicht durch die Existenz bestimmter Benutzernamen oder E-Mail-Adressen beeinträchtigt. Nur der Besitzer der E-Mail-Adresse erhält alle Details über das Passwort, und jeder, der bestehende Benutzer aufdecken möchte, wird immer die gleiche Nachricht sehen und nie wissen, ob das Konto existiert oder nicht.

Was sind die Ziele von Passwort-Reset-E-Mails? #
Passwort-Rückstellungs-E-Mails sind einige der prägnantesten E-Mails, die Sie in Bezug auf die Ziele versenden können. Im Allgemeinen haben sie ein Ziel: den Benutzern zu helfen, den Zugriff auf ihr Konto wieder sicher herzustellen. In den meisten Fällen geschieht dies über den Link zum Zurücksetzen des Passworts, aber in anderen Fällen kann es komplizierter sein. Was passiert, wenn der Link abgelaufen ist? Was ist, wenn sie Probleme bei der Eingabe eines neuen Passworts haben? Was ist, wenn sie sich auf einem mobilen Gerät befinden? Was wäre, wenn sie nicht die Aufforderung zum Zurücksetzen des Passworts gestellt hätten?

Während das Hauptziel einfach ist, sind die Kantenfälle um die Hilfe für Menschen nicht ganz so einfach. Da viele der Edge Cases lose miteinander verbunden sind, gruppieren wir den Zweck der E-Mail in zwei Hauptziele, basierend auf dem Kontext der Anfrage.

1. Wenn sie die Anfrage initiiert haben, helfen Sie ihnen, den Zugriff auf ihr Konto wiederherzustellen #
In diesem Zusammenhang ist das einzige Ziel, das zählt, sie auf die Seite zu bringen, die es ihnen ermöglicht, ihr Passwort zurückzusetzen. Es ist auch praktisch, leicht zugängliche Optionen anzubieten, um Unterstützung zu erhalten.

This entry was posted in Passwort. Bookmark the permalink.