Hesap oluşturma sırasında, şifreyi otomatik olarak oluşturmak ve kullanıcıya göndermek veya kullanıcının kendi şifresini oluşturmasına izin vermek daha mı iyi?

11

Bu soru bugün bir meslektaşımla üzerinde çalıştığımız web sitesinin 'hesap oluştur' sayfası hakkında tartışırken ortaya çıktı.

Meslektaşımın görüşü, kaydı olabildiğince hızlı ve kesintisiz hale getirmemiz gerektiğinden, kullanıcıdan e-postasını istemeli ve gerisini halletmeliyiz.

Niyete katılıyorum, ancak bununla ilgili birkaç endişem var:

  • Şifreyi oluşturduğumuzdan, şifrenin yeterince güçlü olduğundan emin olma sorumluluğumuz var .
  • Deneyimlerime göre, anlaşılmaz bir şifre ile karşı karşıya kaldığında, kullanıcıların bir şifreye yazması muhtemeldir
  • Şifreyi yazmayan kullanıcıların unutması muhtemeldir. Bu, düzenli olarak yeni bir şifre istemeleri gerektiği anlamına gelir ve bu hiç kimse için eğlenceli değildir

Bununla birlikte, kullanıcılar tarafından oluşturulan şifrelerin genel kalitesi ve çok fazla insanın her şey için aynı şifreyi kullanma eğilimi ('shudder') gerçeği göz önüne alındığında, onlar için güçlü bir şifre oluşturmanın nasıl mantıklı olduğunu görebiliyorum.

Hala bu konuda yırtılmış hissediyorum. Kullanıcının kredi kartı bilgilerini kaydetme seçeneğinin bulunduğu bir satıcı web sitesinde çalışıyoruz, bu nedenle en güvenli yaklaşımı kullanmamız çok önemlidir.

security  passwords 
DRYR
kaynak
3
Birisi bu referans var sanırım: xkcd: Şifre gücü
candied_orange 27:17
@CandledOrange Zorunlu XKCD referansı
Dryr
11
Bir tüketici olarak, sitenizi kullandığım ve benim için bir şifre oluşturduğunuz an, hesabımı sildiğim andır.
Eric King
4
Belki bu soru Kullanıcı Deneyimi SE için daha uygundur . Sıra ilginç cevaplarla benzer soru zaten var: misiniz kaydolma formundaki şifre alanına kurtulmak .
insertusernameburada
19
E-postalar güvenli bir iletişim kanalı değildir. Parolaları e-posta ile göndermeyin. Yalnızca kısa bir süre için geçerli olan jetonlar (örneğin 24 saat) iyi olabilir. Parolalardan kaçınamazsınız, ancak parola yöneticilerinin kullanımını teşvik edebilirsiniz: özel yazılım, "parolamı hatırla" tarayıcı özellikleri ve fiziksel not defterlerinin tümü yasal stratejilerdir. Parola girilmesi, iyi güvenlik alışkanlıklarını teşvik etmez. Ayrıca, şifreleri kaydetmediğiniz "Google ile oturum açın" gibi giriş seçeneklerini uygulayın. Harici ödeme işlemcilerini kullanarak, ödeme bilgilerimle sitenize güvenmem gerekmiyor.
amon

Yanıtlar:

11

E-posta yaklaşımının avantajı, kullanıcının bu şekilde kontrol ettiği geçerli bir e-posta hesabı sağlamasını sağlamanızdır.

Ancak, e-posta kanalı herkesin bildiği gibi güvensizdir. Bu, şifrenin ele geçirilebileceği anlamına gelir. Dolayısıyla, bu yaklaşım, oluşturulan parola yalnızca bir kez, ilk girişte kullanılırsa ve kullanıcının parolayı değiştirmesi gerekiyorsa dikkate alınmalıdır.

Doğrudan yaklaşım, web sitenize bir tls / ssl bağlantı fark edilmeden müdahale etmek çok daha zor olduğu için, daha güvenlidir.

Christophe
kaynak
2
Genellikle, her iki yaklaşım da birlikte kullanılır: e-posta ve şifre girin, ardından bir etkinleştirme bağlantısı içeren bir e-posta alın.
mouviciel
@mouviciel evet, en effet. Şifre ve bağlantı ile bu iki aşamalı yaklaşım kullanılan en yaygın yaklaşım gibi görünüyor ve kesinlikle sebepsiz değil :-) Daha güvenlidir, çünkü genel olarak aktivasyon bağlantısı giriş için değil, sadece aktivasyon için kullanılır. OP için bu, etkinleştirme bağlantısını göndermek ve etkinleştirme hesabını izlemek için mantığın geliştirilmesini gerektirir.
Christophe
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.