Kayıt sırasında otomatik olarak şifre oluşturmak iyi bir fikir midir?

9

Üzerinde çalıştığım bir proje için bir kayıt sistemi geliştiriyorum.

Kullanıcılar işlem çok uzunsa kaydolma eğiliminde olmadığından, (en azından başlangıçta) yalnızca otomatik olarak oluşturdukları şifreleri göndereceğim (ve aynı zamanda e-posta adreslerini doğrulamama izin verecek) ). Bu aynı zamanda kayıt işlemini hızlı bir şekilde tamamlamak için zayıf bir şifre seçmelerini de engelleyecektir.

Şimdiye kadar herhangi bir dezavantaj bulamadım, ancak korkuyorum ki bu sistemi kullanan bir site görmedim.

Bu iyi bir fikir mi?

Not: Tabii ki aynı zamanda Facebook ve diğer benzer hizmetler yoluyla kayıt yaptırıyorum, kullanıcıların şifre gerektirmeden hızlı bir şekilde kaydolmalarına izin veriyorum, ancak birçoğu gizlilik endişeleri için veya bu hizmetlerden herhangi birini kullanın.

php  javascript  html5  user-interface  user-experience 
İnatçı
kaynak
3
Kulağa parlak geliyor, endişeleneceğim tek şey parolaların çok zor olması ve insanların hatırlamaması. Bu yüzden kullanıcılarınız ilk giriş yaptığında şifreyi değiştirmek için bir başlangıç ​​ekranı eklerdim.
Alexus
1
Ya da, onların değişmeleri için bir öneri, böylece istedikleri zaman yapabilmeleri önemlidir, ancak kendim, bir kullanıcı olarak şifrenizi hemen değiştirmeyeceğim, bir daha giriş yaptığımda olabilir.
Alexus
1
Kaydolmayı engelleyeceğini sanmıyorum, ancak bir kullanıcı olarak bunu bir engel olarak görüyorum çünkü bir kez kaydolduktan sonra şifremi istediğim biriyle değiştirmem gerekecek. Bu seçeneği sunmazsanız ve bu daha da sinir bozucu olur.
Last1Here
5
Parolayı bir e-postaya göndererek, bir güvenlik sorunu olarak kabul edilir . Bu konudaki kişisel yaklaşımım, kayıt olduktan sonra kullanıcının bir şifre vermemesi (veya almaması). Uygulamada oturum açar ve bir doğrulama e-postası alır. Doğrulama sayfasında, hesabı için bir şifre belirlemesini istersiniz.
Tasos K.
2
Hayır, bence en iyi öneri @TasosK. - sadece bir kişiyi oturum açar ve onay e-postası gönderirsiniz. Bu e-postada, her ikisini de yapan parola sıfırlama bağlantısına benzer bir bağlantı bulunur: e-postayı onaylar ve bu bağlantıyı tıklattıktan sonra kullanıcıdan parola girmesini ister.
Alexus

Yanıtlar:

13

Sorun, bir parolanın mümkün olduğunca düz metinde görünmesidir.

Sizin durumunuzda, şifre bir e-postada düz metin olarak görünür. Bunun birkaç dezavantajı vardır:

  • Kişinin hesabının güvenliği ihlal edilirse, bilgisayar korsanı web sitenize de erişir.

  • Ortada kötü niyetli bir adam varsa, şifreye kolayca erişebilir.

Dahası:

  • Otomatik oluşturulan şifreleri hatırlamak zordur, bu nedenle hayatı kullanıcılarınız için kolaylaştırmak yerine, daha zor hale getirirsiniz ve aynı zamanda şifreyi bir Post-it'e yazmayı teşvik edersiniz, bu en iyi şey olmayabilir güvenlik açısından.

Bu nedenle, kayıt sırasında bu tür şifreler üreten çoğu web sitesi onları tek kullanımlık şifreler haline getirir. Başka bir deyişle, kullanıcı rastgele bir parola içeren bir e-posta alır, ancak oturum açmak için kullandığında, web sitesi hemen kullanıcı tarafından seçilen yeni parolayı sorar ve yukarıda belirtilen üç dezavantajı önler.

Arseni Mourzenko
kaynak
2
"Kişinin hesabının güvenliği ihlal edilirse, bilgisayar korsanı web sitenize de erişir." Bu, en azından büyük olasılıkla sahip olacağınız bir parola sıfırlamanız varsa her zaman olacaktır.
kat0r
1
@ kat0r: evet, genel olarak. Hala böyle olmayan bazı marjinal durumlar var. Bir durum, bir bilgisayar korsanının posta hesabını tüm e-postaları kendisine iletecek şekilde yapılandırabilmesidir: şifre sıfırlama isteyemez, çünkü bu e-posta hesabının sahibi için şüpheli görünebilir.
Arseni Mourzenko
Ayrıca, super-duper otomatik olarak oluşturulan şifrenin, iyi bir kullanıcı tarafından oluşturulan şifreden daha güvenli olmayabileceğini unutmayın: xkcd.com/936
CD001 13
@ CD001: bu yüzden rastgele oluşturulmuş parolalar yerine rastgele oluşturulmuş parolalar kullanılması önerildi , bu da çok, çok kullanıcı dostu olma avantajı sağladı.
Arseni Mourzenko
4

Dürüst olmak gerekirse, çok fazla değeri yok.

1) Çoğu kişi hatırladıkları kendi şifrelerini kullanır. Bunu yaparlarsa, şifrelerini değiştirmeleri kayıt sırasında fazladan bir alanı doldurmaktan daha uzun sürer.

Sisteminizin yararı, o zamana kadar kullanıcının kayıtlı olması, böylece kaybetmemeniz olabilir.

Onlar şifre yöneticisini kullanıyorsanız 2) sadece yapmak daha kolaydır şifre yöneticisi (muhtemelen ekstra 3 veya 4 tıklama gerekiyordu sonradan düzenlemek için dosyayı sahip ve oluşturulan şifreyi takmadan 1'den tıklama ile tercih ettikleri kullanıcı adında dolgu ve rastgele şifre ).

3) Mevcut sistem o kadar yaygın olarak kullanılmaktadır ki bazı insanlar bir şifre alanının eksik olmasıyla karıştırılacaktır (google ile yaptığım gibi, ancak google ve buna güveniyorum).

Claudiu Creanga
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.