L’account management, l’autenticazione e la gestione delle password possono essere complicate, mette in evidenza Google Cloud.
Spesso, la gestione degli account rimane in secondo piano e non rappresenta una priorità assoluta per gli sviluppatori o i product manager. L’esperienza risultante, di conseguenza, non è all’altezza di ciò che gli utenti si aspetterebbero per la sicurezza dei dati e la user experience.
Google Cloud offre diversi strumenti che aiutano i clienti della piattaforma a prendere buone decisioni sulla creazione, la gestione sicura e l’autenticazione degli account utente.
La società di Mountain View illustra in un blog post le best practice da seguire per garantire un sistema di autenticazione degli account sicuro, scalabile e usabile.
Di recente i contenuti di questa lista di best practice sono stati aggiornati dal team della Google Cloud Platform: si tratta di una utile lettura sia per gli amministratori che per gli utenti.
La regola più importante per la gestione degli account, tra le best practice elaborate dal team di Google Cloud, è quella di conservare in modo sicuro le informazioni sensibili degli utenti, compresa la loro password.
Non bisogna mai memorizzate le password in chiaro in nessuna circostanza. Il proprio servizio dovrebbe invece memorizzare un hash crittograficamente forte della password che non può essere decifrato, creato con Argon2id o Scrypt.
Inoltre, gli identity provider di terze parti permettono di fare affidamento su un servizio esterno di fiducia per autenticare l’identità di un utente. Google, Facebook e Twitter sono fornitori comunemente usati.
È possibile implementare identity provider esterni accanto al sistema di autenticazione interna esistente, utilizzando una piattaforma come Identity Platform.
I propri utenti, scrive ancora il team di Google Cloud, non sono un indirizzo e-mail né un numero di telefono, e nemmeno un nome utente unico. Ognuno di questi fattori di autenticazione dovrebbe essere modificabile senza cambiare il contenuto o le personally identifiable information (PII) nell’account.
Un’altra delle best practice è: non imporre regole irragionevoli per gli user name. Non è irragionevole per un sito o un servizio, sostiene Google Cloud, richiedere nomi utente più lunghi di due o tre caratteri, bloccare i caratteri nascosti e impedire gli spazi bianchi all’inizio e alla fine di un nome utente.
Tuttavia, alcuni siti esagerano con requisiti come una lunghezza minima di otto caratteri o bloccando qualsiasi carattere al di fuori delle lettere ASCII a 7 bit e dei numeri.
Un sito con restrizioni strette sugli user name può offrire alcune scorciatoie agli sviluppatori, ma lo fa a spese della user experience e i casi estremi scoraggeranno alcuni utenti.
Un ulteriore suggerimento è: se si chiede a un utente di fornire le informazioni di contatto, si dovrebbe convalidare quel contatto il prima possibile. Inviare cioè un codice di convalida o un link all’indirizzo email o al numero di telefono.
Altrimenti, gli utenti potrebbero fare un errore di battitura nelle loro informazioni di contatto e poi passare un tempo considerevole usando il servizio solo per scoprire che non c’è nessun account corrispondente alle loro informazioni la volta successiva che tentano il login.
Questi sono solo alcuni spunti presenti nelle tredici best practice stilate da Google Cloud per la gestione degli user account: sul blog dell’azienda è possibile consultare l’articolo nella sua completezza. Esso contiene anche link agli strumenti e per ulteriori approfondimenti e può rivelarsi una lettura preziosa anche come approccio generale allo user management, indipendentemente dalla piattaforma utilizzata.
