Artikel ini sebenarnya sudah saya publish dalam bahasa inggris di blog pribadi saya 2 tahun lalu. Di blog resmi perusahaan, saya akan kembali bicara soal topik ini. Mungkin sedikit panjang but worth the read. Trust me.

Masih banyak website besar yang melakukan kesalahan yang sebenarnya sangat berbahaya untuk website mereka.

Fasilitas “forgot password” yang tidak dibangun dengan baik, akan menyebabkan website anda tidak memiliki member aktif, tingkat kunjungan yang semakin menurun, pendapatan iklan yang semakin sedikit, dan pada akhirnya bukan tidak mungkin membuat website anda tutup hingga anda memperbaikinya.

Begini ilustrasinya….

Anda memiliki website dimana member/anggota bisa mendapatkan password baru melalui fasilitas “forgot password”. Begitu mereka klik halaman “forgot password”, ada 1 form yang meminta username.

Member anda memasukkan usernamenya pada kolom “user” dan meng-klik tombol “Submit”.
Jika usernamenya benar, akan muncul pesan dibawah ini:

Yang artinya sistem telah membuat password baru dan mengirimkan password baru itu ke email anda.
Ada yang salah dengan sistem ini? tentu saja tidak! banyak sekali website melakukan ini dan member akan terbantu kalau lupa password. Bukan begitu?

Tapi tunggu dulu…. ada 1 pertanyaan:
Bagaimana jika saya memasukkan username orang lain di kolom itu?
Jawaban: orang lain itu akan menerima email berisikan password barunya.

Benar. Apakah ada yang salah dengan itu? Ada!
Seseorang dapat dengan mudah mengambil username-username member anda dari website. Bisa dari forum, bisa dari fasilitas shoutbox, dari member list, etc.
Seseorang tersebut akan memasukkan satu per satu username yang dia dapatkan, misalnya 500 member.
Seluruh member yang berjumlah 500 itu, akan menerima password baru di email mereka (kalo mereka cek email yah).
Mereka semua akan bingung karena login dengan password lama tidak berhasil padahal tidak merasa mengganti password.
Hal ini dilakukan terus-menerus setiap hari…
Setiap hari, 500 member ini berganti passwordnya karna keisengan seseorang…

Pada tahap yang serius, seseorang dapat dengan sabarnya mencatat username member-member anda, membuat script otomatis untuk memasukkan username dan menjalankan script forgot password website anda, setiap 2 hari 1x.

Bayangkan bencana apa yang akan terjadi?

Solusinya akan ada di artikel berikutnya. Stay Tuned!

—

Tulisan ini dibuat hanya untuk berbagi informasi sesama webmaster. Mudah-mudahan bermanfaat. Saya tidak bertanggungjawab jika pengetahuan yang ada disini disalahgunakan siapapun. Mudah2an ga ada yang jahil yah. ^^