Là tự động tạo mật khẩu trong khi đăng ký là một ý tưởng tốt?


9

Tôi đang phát triển một hệ thống đăng ký cho một dự án tôi đang làm việc.

Vì người dùng có xu hướng không đăng ký nếu quá trình này quá dài, tôi nghĩ rằng chỉ yêu cầu (ít nhất là ban đầu) chỉ email của họ, nơi tôi sẽ gửi cho họ mật khẩu được tạo tự động của họ (và điều đó cũng cho phép tôi xác minh địa chỉ email của họ ). Điều đó cũng sẽ ngăn họ chọn một mật khẩu yếu để hoàn thành việc đăng ký nhanh chóng.

Tôi đã không tìm thấy bất kỳ nhược điểm nào cho đến nay, nhưng tôi sợ có một số như tôi chưa bao giờ thấy một trang web sử dụng hệ thống này.

Đó có phải là một ý tưởng tốt?

PS: tất nhiên tôi cũng đang triển khai đăng ký qua Facebook và các dịch vụ tương tự khác để cho phép mọi người đăng ký nhanh mà không cần mật khẩu, nhưng nhiều người có thể muốn chọn đăng ký cổ điển vì lo ngại về quyền riêng tư hoặc vì họ không sử dụng bất kỳ dịch vụ nào


3
Nghe có vẻ xuất sắc, điều duy nhất tôi sẽ lo lắng là mật khẩu quá khó và mọi người không nhớ nó. Vì vậy, tôi sẽ thêm một màn hình ban đầu để thay đổi mật khẩu khi người dùng của bạn đăng nhập lần đầu tiên.
Alexus

1
Hoặc, đúng hơn là một gợi ý cho họ thay đổi để nổi bật rằng họ có thể bất cứ lúc nào họ muốn, nhưng bản thân tôi, với tư cách là người dùng, tôi sẽ không thay đổi mật khẩu ngay lập tức, có thể là lần sau tôi đăng nhập.
Alexus

1
Tôi không nghĩ nó sẽ cản trở việc đăng ký, nhưng với tư cách là một người dùng, tôi thấy điều đó là một trở ngại bởi vì một khi đăng ký, tôi sẽ phải thay đổi mật khẩu của mình thành một lựa chọn mà tôi chọn. Trừ khi bạn không cung cấp tùy chọn đó, và điều đó sẽ còn bực bội hơn nữa.
Lần cuối vào

5
Bằng cách gửi mật khẩu đến một email, được coi là một vấn đề bảo mật . Cách tiếp cận cá nhân của tôi về điều này là khi đăng ký, người dùng hoàn toàn không cung cấp (hoặc nhận) mật khẩu. Anh ta đăng nhập vào ứng dụng và nhận được email xác minh. Trên trang xác minh, bạn yêu cầu anh ta đặt mật khẩu cho tài khoản của mình.
TASos K.

2
Không, tôi nghĩ đề xuất tốt nhất là từ @TasosK. - bạn chỉ cần đăng nhập một người n và gửi email xác nhận. Trong email đó có một liên kết tương tự như liên kết đặt lại mật khẩu, cả hai: xác nhận email và nhắc người dùng nhập mật khẩu khi nhấp vào liên kết đó.
Alexus

Câu trả lời:


13

Vấn đề là mật khẩu sẽ xuất hiện trong văn bản thuần càng hiếm khi càng tốt.

Trong trường hợp của bạn, mật khẩu xuất hiện dưới dạng văn bản đơn giản trong e-mail. Điều này có một số nhược điểm:

  • Nếu tài khoản của người đó bị xâm phạm, hacker cũng sẽ truy cập vào trang web của bạn.

  • Nếu có một kẻ độc hại ở giữa, anh ta có thể dễ dàng truy cập mật khẩu.

Hơn thế nữa:

  • Mật khẩu được tạo tự động rất khó nhớ, vì vậy thay vì làm cho cuộc sống của người dùng dễ dàng hơn, bạn đang làm cho nó trở nên khó khăn hơn và đồng thời khuyến khích ghi lại mật khẩu trên Post-it, đây có thể không phải là điều tốt nhất về mặt bảo mật.

Đây là lý do tại sao hầu hết các trang web tạo mật khẩu như vậy trong quá trình đăng ký đều biến chúng thành mật khẩu sử dụng một lần. Nói cách khác, người dùng nhận được một e-mail có mật khẩu ngẫu nhiên, nhưng một khi anh ta sử dụng nó để đăng nhập, trang web sẽ ngay lập tức yêu cầu mật khẩu mới do người dùng chọn, ngăn chặn ba nhược điểm nêu trên.


2
"Nếu tài khoản của người đó bị xâm phạm, hacker cũng sẽ truy cập vào trang web của bạn." Điều đó sẽ luôn xảy ra, ít nhất là nếu bạn có một thiết lập lại mật khẩu - mà bạn rất có thể sẽ có.
kat0r

1
@ kat0r: vâng, nói chung. Vẫn còn một số trường hợp ngoài lề không phải là trường hợp đó. Một trường hợp là khi tin tặc chỉ có thể định cấu hình tài khoản thư để chuyển tiếp tất cả e-mail cho anh ta: anh ta không thể yêu cầu đặt lại mật khẩu, vì điều này có thể gây nghi ngờ cho chủ sở hữu tài khoản email.
Arseni Mourzenko

Cũng lưu ý rằng mật khẩu được tạo tự động siêu lừa đảo có thể không thực sự an toàn hơn mật khẩu do người dùng tạo tốt: xkcd.com/936
CD001

@ CD001: đó là lý do tại sao sử dụng cụm mật khẩu được tạo ngẫu nhiên thay vì mật khẩu được tạo ngẫu nhiên được đề xuất , với lợi ích là rất nhiều, thân thiện với người dùng.
Arseni Mourzenko

4

Thành thật mà nói, nó không có nhiều giá trị với nó.

1) Hầu hết mọi người sử dụng mật khẩu của riêng họ mà họ nhớ. Nếu họ làm như vậy, sau đó làm cho họ thay đổi mật khẩu của họ sẽ mất nhiều thời gian hơn là điền vào một trường bổ sung trong quá trình đăng ký.

Lợi ích của hệ thống của bạn có thể là sau đó người dùng đã đăng ký để bạn không bị mất.

2) Nếu họ sử dụng trình quản lý mật khẩu, sẽ dễ dàng hơn để khiến trình quản lý mật khẩu điền tên người dùng ưa thích của họ và mật khẩu ngẫu nhiên với 1 lần nhấp hơn là phải chỉnh sửa tệp sau đó và chèn mật khẩu đã tạo của bạn (có thể mất thêm 3 hoặc 4 lần nhấp ).

3) Hệ thống hiện tại được sử dụng rộng rãi đến mức một số người sẽ bối rối vì thiếu trường mật khẩu (như tôi đã làm với google, nhưng đó là google và tôi tin tưởng nó).

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.