Является ли автоматическое создание паролей при регистрации хорошей идеей?

9

Я разрабатываю систему регистрации для проекта, над которым я работаю.

Поскольку пользователи, как правило, не регистрируются, если процесс занимает слишком много времени, я подумал, что потребуется (по крайней мере, на начальном этапе) только их электронная почта, где я отправлю им автоматически сгенерированный пароль (и это также позволит мне проверить их адрес электронной почты ). Это также помешает им выбрать слабый пароль для быстрого завершения регистрации.

До сих пор я не нашел никаких минусов, но боюсь, что есть некоторые, поскольку я никогда не видел сайт, использующий эту систему.

Это хорошая идея?

PS: конечно, я также внедряю регистрацию через Facebook и другие подобные сервисы, чтобы люди могли регистрироваться быстро без пароля, но многие могут захотеть выбрать классическую регистрацию из соображений конфиденциальности или потому, что они этого не делают. воспользуйтесь любой из этих услуг.

Упрямый
источник
3
Звучит великолепно, единственное, о чем я бы беспокоился, это слишком жесткие пароли, и люди не помнят этого. Поэтому я бы добавил начальный экран для изменения пароля при первом входе пользователей.
Алексус
1
Или, скорее, предложение изменить их так, чтобы они могли это сделать в любое время, когда захотят, но я, как пользователь, я бы не стал менять свой пароль сразу, возможно, при следующем входе в систему.
Алексус
1
Я не думаю, что это будет препятствовать регистрации, но как пользователь я считаю это помехой, потому что после регистрации мне придется перейти и изменить свой пароль на тот, который я выберу. Если вы не предложите этот вариант, и это будет еще более расстраивающим.
Last1Here
5
Отправка пароля на электронную почту считается проблемой безопасности . Мой личный подход заключается в том, что при регистрации пользователь вообще не предоставляет (или не получает) пароль. Он входит в приложение и получает подтверждение по электронной почте. На странице подтверждения вы просите его установить пароль для своей учетной записи.
Тасос К.
2
Нет, я думаю, что лучшее предложение от @TasosK. - Вы просто входите в систему и отправляете электронное письмо с подтверждением. В этом электронном письме есть ссылка, аналогичная ссылке для сброса пароля, которая выполняет оба действия: подтверждает электронную почту и предлагает пользователю ввести пароль после нажатия на эту ссылку.
Алексус

Ответы:

13

Проблема в том, что пароль должен появляться в виде обычного текста как можно реже.

В вашем случае пароль отображается в виде простого текста в электронном письме. Это имеет несколько недостатков:

  • Если учетная запись человека взломана, хакер также получает доступ к вашему сайту.

  • Если в середине находится злоумышленник, он может легко получить доступ к паролю.

Более того:

  • Автоматически сгенерированные пароли трудно запомнить, поэтому вместо того, чтобы облегчить жизнь пользователям, вы усложняете их и в то же время поощряете записывать пароль на Post-it, что может быть не самым лучшим решением. с точки зрения безопасности.

Вот почему большинство сайтов, которые генерируют такие пароли при регистрации, делают их одноразовыми паролями. Другими словами, пользователь получает электронное письмо со случайным паролем, но как только он использует его для входа в систему, веб-сайт немедленно запрашивает новый пароль, выбранный пользователем, предотвращая три упомянутых выше недостатка.

Арсений Мурзенко
источник
2
«Если учетная запись человека взломана, хакер также получит доступ к вашему сайту». Это всегда будет происходить, по крайней мере, если у вас будет сброс пароля - что, скорее всего, у вас будет.
kat0r
1
@ kat0r: да, в общем. Есть еще некоторые крайние случаи, когда это не так. Один случай, когда хакер может просто настроить учетную запись электронной почты для пересылки ему всех электронных писем: он не может попросить сброс пароля, потому что это может показаться подозрительным для владельца учетной записи электронной почты.
Арсений Мурзенко
Также имейте в виду, что супер-сгенерированный автоматически сгенерированный пароль не может быть более безопасным, чем хороший сгенерированный пользователем пароль: xkcd.com/936
CD001
@ CD001: Вот почему с использованием случайно генерируемых ключевых фраз , а не случайным образом сгенерированных паролей было предложено , с выгодой быть много, очень удобной для пользователей.
Арсений Мурзенко
4

Честно говоря, в этом нет особой ценности.

1) Большинство людей используют свой пароль, который они помнят. Если они это сделают, то их изменение пароля займет больше времени, чем заполнение дополнительного поля при регистрации.

Преимущество вашей системы может заключаться в том, что к тому времени пользователь будет зарегистрирован, чтобы вы не потеряли его.

2) Если они используют менеджер паролей, проще просто заставить менеджер паролей заполнить свое предпочтительное имя пользователя и случайный пароль одним кликом, чем редактировать файл впоследствии и вставлять сгенерированный пароль (вероятно, потребуется 3 или 4 клика дополнительно ).

3) Нынешняя система настолько широко используется, что некоторые люди будут смущены отсутствием поля пароля (как я сделал с Google, но это Google, и я доверяю этому).

Клаудиу Крянгэ
источник