Se l'utente si registra per il mio sito tramite ad es. Accesso Facebook, dovrei costringere l'utente a creare anche una password sul mio sito?

Naviga le tue risposte
4

La maggior parte dei siti, quando ti registri tramite ad es. Facebook, ti reindirizza a una pagina in seguito chiedendoti di inserire ulteriori informazioni di cui il sito ha bisogno. Molto spesso questo include l'impostazione di una password per il sito.

Non capisco perché sia così.

Sto creando un sito e voglio consentire all'utente di registrarsi sia tramite e.g. Facebook o crea un account direttamente sul nostro sistema.

  • Se si sono registrati tramite il nostro sistema, ovviamente hanno impostato una password, e una volta che hanno effettuato l'accesso, hanno una schermata delle impostazioni in cui possono collegare il loro account. Il mio piano sarebbe, da quel momento in poi, poter accedere tramite Facebook.
  • Se si sono registrati tramite Facebook, possono ovviamente accedere tramite Facebook. Se lo desiderano, possono impostare una password nella schermata delle impostazioni in un secondo momento. Ciò consentirebbe loro di accedere con il loro indirizzo email (che otteniamo dal login di Facebook) e la loro nuova password. Oppure non potrebbero mai farlo e continuare ad accedere sempre tramite Facebook.

C'è un problema con questo approccio? Perché altri siti ti obbligano a impostare una password sul loro sito dopo esserti registrato tramite un social network?

    
posta Adrian Smith 12.07.2015 - 14:48
fonte

2 risposte

1

Idealmente non dovresti. Se si sono autenticati con successo con altri mezzi, non imporre ulteriori oneri a loro carico. Puoi vedere che questo metodo è utilizzato dalla rete Stack Exchange (ad esempio) - dopo esserti autenticato tramite Google, non devi creare una password.

    
risposta data 17.07.2015 - 11:48
fonte
2

L'unica ragione per cui riesco a pensare a questa procedura può avere senso è impedire a qualcuno che ha accesso fisico al tuo computer / smartphone di accedere al sito. Dato che la sessione di Facebook è generalmente aperta per la maggior parte degli utenti, chiunque abbia accesso al computer / smartphone di questi utenti potrebbe ottenere l'accesso al sito, impersonandoli.

Se costringi "l'attaccante" a introdurre una nuova password anche dopo l'accesso a Facebook, stai eliminando questa minaccia.

In ogni caso, quando si ottiene l'accesso fisico, la sicurezza è piuttosto compromessa.

(Mi sarebbe piaciuto inserire questo come commento, ma non ho abbastanza reputazione)

    
risposta data 17.07.2015 - 09:13
fonte

Leggi altre domande sui tag

Proteggi password / autenticazione durante il transito su socket TCP (non sicuro) per un gioco I metodi magici PHP sono davvero necessari per l'iniezione di oggetti PHP?