web-dev-qa-db-fra.com

Comment traitez-vous avec les utilisateurs qui n'ont plus accès à leur adresse e-mail de connexion?

Je lance une application Web de taille raisonnable et je rencontre de temps en temps des utilisateurs qui, pour diverses raisons, perdent l'accès à l'adresse de messagerie avec laquelle ils se sont inscrits à l'origine.

L'utilisateur fera généralement une demande à partir de sa nouvelle adresse e-mail nous demandant de mettre à jour l'e-mail de son compte pour refléter la nouvelle adresse. Dans le passé, cela est souvent dû au fait que l'utilisateur autorise l'expiration d'un domaine.

Nous n'approuvons jamais de telles demandes, mais cela nous laisse dans un léger dilemme. Comment pouvons-nous vérifier l'identité de la personne qui demande le changement? Nous ne demandons pas aux utilisateurs de fournir une adresse postale et le numéro de téléphone est facultatif.

Est-ce quelque chose que d'autres ont rencontré? Comment recommanderiez-vous de traiter de telles demandes?

Tout avis serait grandement apprécié.

authenticationusers
1
QFDev

Habituellement, ils ont également oublié leur mot de passe.

Donc, la question est vraiment ... "Comment pouvez-vous réinitialiser le mot de passe d'un utilisateur alors qu'il n'a pas accès à sa messagerie?"

En bref, vous allez avoir besoin de beaucoup plus d'informations de la part de l'utilisateur et, par conséquent, il faudra que l'utilisateur ait préalablement saisi ces informations dans son compte lors de l'inscription.

  • Adresse e-mail alternative.
  • Numéro de téléphone. (L'utilisateur peut répéter le numéro de téléphone pour valider ou vous pouvez le contacter, ce qui est préférable.)
  • Questions de sécurité, mot mémorable, date mémorable ...

Si les informations ci-dessus ne sont pas fournies, l'utilisateur doit être averti qu'il réduit ses chances de pouvoir retrouver l'accès à son compte.

Vous pouvez également demander des questions sur leur compte:

  • Quand le compte a-t-il été créé?
  • Quand se sont-ils connectés pour la dernière fois?
  • Quel type de compte?
  • Quel mode de paiement a été utilisé?
  • Quelles actions ont-ils effectuées sur le compte?

Vous pouvez également vérifier leur adresse IP actuelle pour voir si elle correspond à l'une des IP précédemment connectées à. (Ou une adresse IP appartenant au même fournisseur d'accès?)

Évidemment, certains de ces derniers points ne sont pas très puissants en eux-mêmes, mais combinés, ils pourraient suffire.

1
MrWhite