Этот вопрос возник сегодня, когда мы обсуждали с коллегой страницу «Создать учетную запись» для веб-сайта, над которым мы работаем.
Мое коллега считает, что мы должны сделать регистрацию максимально быстрой и беспроблемной, поэтому мы должны просто попросить пользователя отправить его электронное письмо и позаботиться обо всем остальном.
Я согласен с намерением, но у меня есть несколько опасений по этому поводу:
- Так как мы генерируем пароль, мы имеем ответственность , чтобы убедиться , пароль достаточно силен
- По моему опыту, когда пользователь сталкивается с непонятным паролем, пользователи, скорее всего, запишут его в сообщении
- Пользователи, которые не записывают пароль, скорее всего, забудут его. Это означает, что им придется регулярно запрашивать новый пароль, и это никому не интересно
Однако, учитывая общее качество паролей, создаваемых пользователями, и тот факт, что слишком много людей склонны использовать один и тот же пароль для всего («дрожь»), я понимаю, как было бы целесообразно создать для них надежный пароль.
Я все еще чувствую себя разбитым об этом. Мы работаем над веб-сайтом продавца, где у пользователя есть возможность сохранить данные своей кредитной карты, поэтому очень важно, чтобы мы использовали наиболее безопасный подход.
Ответы:
Преимущество подхода с использованием электронной почты заключается в том, что таким образом вы гарантируете, что пользователь предоставил действительную учетную запись электронной почты, которую он / она контролирует.
Однако канал электронной почты небезопасен. Это означает, что пароль может быть перехвачен. Таким образом, этот подход следует рассматривать только в том случае, если сгенерированный пароль используется только один раз, при первом входе в систему и если он гарантирован, что пользователь должен изменить его.
Прямой подход более безопасен в том смысле, что соединение tls / ssl с вашим веб-сайтом гораздо сложнее перехватить, не заметив.
источник