Tulisan ini menyambung post sebelumnya “Berbahayakah Forgot Password bagi website anda?”. Tehnik yang dibahas pada post tersebut sangat rawan dijahili orang lain.
Nah, untuk menghindari masalah itu, dan dari hasil pengamatan di beberapa website besar, inilah tehnik “forgot password” yang lebih baik (kalo ntar ada kelemahan, ya kita bahas lagi tehnik barunya… )

Login
Pada saat pendaftaran, saat ini user sebaiknya tidak diminta membuat username. Gunakan saja email mereka sebagai pengganti username. Toh sudah “unique”.
Jadi berkurang 1 hal yang harus diingat. Cukup email dan password untuk login. Simple.

Forgot Password
Pada saat mereka lupa password, tampilkan dan lakukan proses berikut:

• Tampilkan form “forgot password” hanya meminta alamat email SAJA.
• Cek ke database pastikan alamat email benar
• Jika benar, kirimkan email berisi link untuk melakukan reset password
• Member masuk ke email box dan memeriksa email dari sistem
• User/member meng-klik link di email dan dibawa kembali ke halaman web untuk melakukan reset password
  Jadi ada 2 field di halaman itu:
  New Password:
  Confirm new password:
• Lakukan perubahan data password member di database, kirim kembali email berisikan info password baru
• Selesai

Sekarang sedikit penjelasan poin diatas…

Untuk poin nomer 2 dan 3…
Pastikan setelah email itu ditemukan di database, generate kode acak (random code) minimal 6 karakter (lebih panjang lebih baik) sebagai tambahan validasi yang dikirim di link dalam email. Kode acak ini pastinya disimpan di database untuk email yang mau di reset passwordnya…
Tujuannya? biar orang iseng ga bisa nebak-nebak dan ganti password semua orang.

Nanti kira-kira isi email spt ini:

Silahkan klik link dibawah ini untuk melakukan reset password:
http://www.webbyemedia.net/resetpass/345/eo89GHjxTvw56/
(ini kalo URL-nya SEO friendly yah… hehe)

Kira-kira begitu. Semoga bermanfaat yah.

Masih banyak website besar yang melakukan kesalahan yang sebenarnya sangat berbahaya untuk website mereka.

Fasilitas “forgot password” yang tidak dibangun dengan baik, akan menyebabkan website anda tidak memiliki member aktif, tingkat kunjungan yang semakin menurun, pendapatan iklan yang semakin sedikit, dan pada akhirnya bukan tidak mungkin membuat website anda tutup hingga anda memperbaikinya.

Begini ilustrasinya….

Anda memiliki website dimana member/anggota bisa mendapatkan password baru melalui fasilitas “forgot password”. Begitu mereka klik halaman “forgot password”, ada 1 form yang meminta username.

Member anda memasukkan usernamenya pada kolom “user” dan meng-klik tombol “Submit”.
Jika usernamenya benar, akan muncul pesan dibawah ini:

Yang artinya sistem telah membuat password baru dan mengirimkan password baru itu ke email anda.
Ada yang salah dengan sistem ini? tentu saja tidak! banyak sekali website melakukan ini dan member akan terbantu kalau lupa password. Bukan begitu?

Tapi tunggu dulu…. ada 1 pertanyaan:
Bagaimana jika saya memasukkan username orang lain di kolom itu?
Jawaban: orang lain itu akan menerima email berisikan password barunya.

Benar. Apakah ada yang salah dengan itu? Ada!
Seseorang dapat dengan mudah mengambil username-username member anda dari website. Bisa dari forum, bisa dari fasilitas shoutbox, dari member list, etc.
Seseorang tersebut akan memasukkan satu per satu username yang dia dapatkan, misalnya 500 member.
Seluruh member yang berjumlah 500 itu, akan menerima password baru di email mereka (kalo mereka cek email yah).
Mereka semua akan bingung karena login dengan password lama tidak berhasil padahal tidak merasa mengganti password.
Hal ini dilakukan terus-menerus setiap hari…
Setiap hari, 500 member ini berganti passwordnya karna keisengan seseorang…

Pada tahap yang serius, seseorang dapat dengan sabarnya mencatat username member-member anda, membuat script otomatis untuk memasukkan username dan menjalankan script forgot password website anda, setiap 2 hari 1x.

Bayangkan bencana apa yang akan terjadi?

Solusinya akan ada di artikel berikutnya. Stay Tuned!

—

Tulisan ini dibuat hanya untuk berbagi informasi sesama webmaster. Mudah-mudahan bermanfaat. Saya tidak bertanggungjawab jika pengetahuan yang ada disini disalahgunakan siapapun. Mudah2an ga ada yang jahil yah. ^^