Trong quá trình tạo tài khoản, tốt hơn là tạo mật khẩu tự động và gửi nó cho người dùng, hoặc để người dùng tạo mật khẩu của riêng mình?

Câu hỏi này được đưa ra hôm nay trong khi thảo luận với một đồng nghiệp về trang 'tạo tài khoản' cho trang web chúng tôi đang làm việc.

Ý kiến của đồng nghiệp của tôi là chúng ta nên đăng ký nhanh và liền mạch nhất có thể, do đó chúng ta chỉ nên yêu cầu người dùng cho email của mình và chăm sóc phần còn lại.

Tôi đồng ý với ý định này, nhưng tôi có một vài lo ngại về nó:

Vì chúng tôi tạo mật khẩu, chúng tôi có trách nhiệm đảm bảo mật khẩu đủ mạnh
Theo kinh nghiệm của tôi, khi đối mặt với một mật khẩu khó hiểu, người dùng có khả năng viết nó xuống trên một bài đăng nó
Những người dùng không ghi lại mật khẩu, rất có thể sẽ quên nó. Điều đó có nghĩa là họ sẽ phải yêu cầu mật khẩu mới thường xuyên và điều đó không vui cho bất cứ ai

Tuy nhiên, xem xét chất lượng chung của mật khẩu do người dùng tạo và thực tế là có quá nhiều người có xu hướng sử dụng cùng một mật khẩu cho mọi thứ ('rùng mình'), tôi có thể thấy việc tạo mật khẩu mạnh cho họ có ý nghĩa như thế nào.

Tôi vẫn cảm thấy bị giằng xé về nó. Chúng tôi đang làm việc trên một trang web thương gia nơi người dùng có tùy chọn lưu chi tiết thẻ tín dụng của mình, vì vậy rõ ràng điều rất quan trọng là chúng tôi sử dụng phương pháp an toàn nhất.

security passwords

— Khô
nguồn

Tôi cho rằng ai đó phải tham khảo điều này: xkcd: Mật khẩu mạnh

— candied_orange

@CandledOrange Tham chiếu XKCD bắt buộc

— Dryr

Là người tiêu dùng, thời điểm tôi sử dụng trang web của bạn và bạn tạo mật khẩu cho tôi là thời điểm tôi xóa tài khoản của mình.

— Eric King

Có lẽ câu hỏi này phù hợp hơn với Trải nghiệm người dùng SE . Cũng đã có một câu hỏi tương tự với các câu trả lời thú vị: Bạn có thoát khỏi trường mật khẩu ở dạng đăng ký không .

— insertusernamehere

Email không phải là một kênh liên lạc an toàn. Đừng gửi mật khẩu qua email. Mã thông báo chỉ có giá trị trong một khoảng thời gian ngắn (ví dụ 24 giờ) có thể ổn. Bạn không thể tránh mật khẩu, nhưng bạn có thể khuyến khích sử dụng trình quản lý mật khẩu: phần mềm chuyên dụng, tính năng trình duyệt "nhớ mật khẩu của tôi" và sổ ghi chép vật lý là tất cả các chiến lược hợp pháp. Cung cấp mật khẩu không khuyến khích thói quen bảo mật tốt. Ngoài ra, thực hiện các tùy chọn đăng nhập như "đăng nhập bằng Google" nơi bạn không lưu trữ mật khẩu. Sử dụng bộ xử lý thanh toán bên ngoài để tôi không phải tin tưởng trang web của bạn với các chi tiết thanh toán của tôi.

— amon

Ưu điểm của cách tiếp cận email là bạn đảm bảo bằng cách này người dùng đã cung cấp một tài khoản email hợp lệ mà anh ấy / cô ấy kiểm soát.

Tuy nhiên, kênh email nổi tiếng là không an toàn. Điều này có nghĩa là mật khẩu có thể bị chặn. Vì vậy, cách tiếp cận này chỉ nên được xem xét nếu mật khẩu được tạo chỉ được sử dụng một lần, lần đăng nhập đầu tiên và nếu nó đảm bảo rằng người dùng phải thay đổi nó.

Cách tiếp cận trực tiếp an toàn hơn, theo nghĩa là kết nối tls / ssl đến trang web của bạn khó bị chặn hơn nhiều mà không bị chú ý.

— Barshe
nguồn

Thông thường, cả hai phương pháp đều được sử dụng cùng nhau: nhập email và mật khẩu, sau đó nhận email chứa liên kết kích hoạt.

— mouviciel

@mouviciel vâng, en effet. Cách tiếp cận hai bước với mật khẩu và liên kết này dường như là cách tiếp cận phổ biến nhất được sử dụng và chắc chắn không phải không có lý do :-) Nó an toàn hơn, vì nói chung, liên kết kích hoạt chỉ được sử dụng để kích hoạt chứ không phải để đăng nhập. Đối với OP, điều này sẽ yêu cầu phát triển logic để gửi liên kết kích hoạt và theo dõi kích hoạt trên tài khoản.

— Christophe