Чи хороша ідея автоматичного генерування паролів під час реєстрації?

9

Я розробляю систему реєстрації проекту, над яким працюю.

Оскільки користувачі, як правило, не реєструються, якщо процес занадто довгий, я думав вимагати (принаймні спочатку) лише їх електронного листа, куди я надішлю їм свій автоматично створений пароль (і це також дозволить мені підтвердити їхню адресу електронної пошти ). Це також заважатиме їм вибрати слабкий пароль, щоб швидко пройти реєстрацію.

Я поки не знайшов жодних недоліків, але, боюся, є такі, як я ніколи не бачив сайт, що використовує цю систему.

Це гарна ідея?

PS: звичайно, я також здійснюю реєстрацію через Facebook та інші подібні сервіси, щоб люди могли швидко реєструватися без необхідності пароля, але багато хто може захотіти вибрати класичну реєстрацію з питань конфіденційності або тому, що вони не хочуть використовувати будь-яку з цих послуг.

php  javascript  html5  user-interface  user-experience 
Впертий
джерело
3
Це звучить геніально, єдине, про що я б хвилювався - це занадто жорсткі паролі та люди не пам’ятають про це. Тому я додав би початковий екран, щоб змінити пароль, коли ваші користувачі вперше ввійдуть у систему.
Олексій
1
Або, скоріше, пропозиція змінити їх настільки помітно, що вони можуть коли завгодно, але я, як користувач, я не зміняв би свій пароль відразу, можливо, наступного разу, коли я ввійду в систему.
Олексій
1
Я не думаю, що це буде перешкоджати реєстрації, але як користувач я вважаю це перешкодою, тому що після реєстрації мені доведеться перейти до зміни свого пароля. Якщо ви не запропонуєте цей варіант, і це буде ще більше засмучувати.
Останній1Гере
5
Надсилаючи пароль на електронний лист, вважається проблемою безпеки . Мій особистий підхід до цього полягає в тому, що при реєстрації користувач взагалі не надає (або отримує) пароль. Він увійде до програми та отримає електронний лист для підтвердження. На сторінці підтвердження ви просите його встановити пароль для свого облікового запису.
Тасос К.
2
Ні, я думаю, найкраща пропозиція - від @TasosK. - ви просто зареєструєте особу і надішліть підтвердження електронною поштою. У цьому електронному листі це посилання, схоже на посилання для скидання пароля, яке робить і те, і інше: підтверджує електронну пошту та спонукає користувача ввести пароль після натискання на це посилання.
Олексій

Відповіді:

13

Проблема полягає в тому, що пароль повинен з’являтися в простому тексті якомога рідше.

У вашому випадку пароль з’являється у простому тексті електронної пошти. Це має ряд недоліків:

  • Якщо обліковий запис особи порушено, хакер отримує доступ і до вашого веб-сайту.

  • Якщо в середині є зловмисник, він може легко отримати доступ до пароля.

Більше того:

  • Автоматично створені паролі важко запам’ятати, тому замість того, щоб полегшити життя вашим користувачам, ви ускладнюєте і в той же час заохочуєте записувати пароль на Post-it, що може бути не найкращою справою з точки зору безпеки.

Ось чому більшість веб-сайтів, які генерують такі паролі під час реєстрації, роблять їх одноразовими паролями. Іншими словами, користувач отримує електронний лист із випадковим паролем, але як тільки він використовує його для входу, веб-сайт негайно запитує новий пароль, обраний користувачем, запобігаючи три згадані вище недоліки.

Арсеній Муренко
джерело
2
"Якщо обліковий запис особи порушено, хакер отримує доступ і до вашого веб-сайту." Це завжди відбуватиметься, принаймні, якщо ви скинете пароль - що, швидше за все, у вас буде.
kat0r
1
@ kat0r: так, загалом. Є ще деякі граничні випадки, коли це не так. Один випадок - коли хакер може просто налаштувати поштовий обліковий запис, щоб пересилати йому всі електронні листи: він не може просити скидання пароля, оскільки це може виглядати підозріло для власника облікового запису електронної пошти.
Арсеній Мурценко
Також майте на увазі, що супер-пупер автоматично створений пароль може насправді не бути більш безпечним, ніж хороший створений користувачем пароль: xkcd.com/936
CD001
@ CD001: тому було запропоновано використання випадковим чином генерованих парольних фраз замість випадково генерованих паролів , з користю для того, щоб вони були набагато зручнішими для користувачів.
Арсеній Муренко
4

Чесно кажучи, це не має великої цінності для цього.

1) Більшість людей використовують свій власний пароль, який вони пам’ятають. Якщо вони дійсні, то змушення їх змінити пароль займе більше часу, ніж заповнення додаткового поля під час реєстрації.

Перевага вашої системи може полягати в тому, що до цього часу користувач реєструється, тому ви не втратите її.

2) Якщо вони використовують менеджер паролів, простіше просто змусити менеджер паролів заповнити бажане ім'я користувача та випадковий пароль одним кліком, ніж потім редагувати файл та вставляти згенерований пароль (ймовірно, це займе 3 або 4 кліку додатково ).

3) Поточна система настільки широко використовується, що деяких людей буде бентежити відсутність поля пароля (як я робив з Google, але це Google, і я їй довіряю).

Клавді Креанга
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.