I PW generati dagli utenti sono un ricordo del passato per la maggior parte delle app?

Naviga le tue risposte
-2

Sto facendo un gioco online in cui ho bisogno di conservare alcune cose per i giocatori in modo che ognuno abbia un account. Tuttavia, non voglio entrare nel business della memorizzazione delle password create dagli utenti dato che in questi giorni è rischioso.

Quindi stavo pensando a che cosa è il motivo di chiedere persino all'utente di creare una password per la maggior parte delle app in questi giorni? Con la verifica dell'avvento telefono / e-mail, perché non basta che l'utente inserisca il suo indirizzo e-mail e poi il server crei un pw temporaneo per 15 minuti e poi lo invii a quel indirizzo e-mail e lo faccia copiare / incollare nel gioco per accedere? Potrebbe essere usato anche un numero di telefono. Questo di solito è il passaggio 2 in un'autenticazione in due passaggi in ogni caso, quindi dal momento che è, direi, più sicuro rispetto al pw generato dall'utente, perché non farlo solo come unico passo?

Ho il leggero inconveniente, ma penso che la gente stia superando il problema in questi giorni a causa della sicurezza. Sembra che questo passi al fornitore di servizi di posta elettronica e alla loro sicurezza che sarà migliore di ciò che la maggior parte delle persone con un'app ha trovato. Per impedire a qualcuno che conosce la tua e-mail e l'app di inviare spam al sistema, è possibile tenere traccia dell'ultima prova pw e consentire solo così tanti in un'ora.

Pensieri?

    
posta user441521 04.03.2018 - 18:49
fonte

1 risposta

1

Ci sono un paio di problemi con il tuo approccio, anche se credo sia un'idea migliore della memorizzazione errata delle password, che è molto negligente.

Come utente mi sentirei seccato che dovessi controllare la mia posta ogni volta che voglio accedere. Non solo, ma sembra piuttosto poco professionale. Questo potrebbe non essere un problema dato che è un gioco, ma comunque.

Un altro problema è che l'invio di un paio di mail non è difficile. Ma se ti capita di avere una grande base di utenti inizierai a gestire problemi come il fatto che le tue e-mail vengano rilevate come spam, il tuo server di invio di e-mail potrebbe essere messo in blacklist, se usi Gmail, potrebbe bloccarti dopo aver inviato un centinaio di email .

Quindi i miei pensieri sono che sembra una cattiva idea, non la peggiore, e potrebbe diventare più complicata se dovesse crescere molto.

Possibili soluzioni: - Se si tratta di un browser game, utilizzare un approccio basato sui cookie e memorizzare le informazioni del gioco nel PC client, magari anche crittografate, in modo che l'utente non sia in grado di imbrogliarti. Se l'utente desidera passare a un altro pc / browser, puoi offrirgli di copiare questi dati e incollarli su un altro browser per continuare da dove ha lasciato. Se non sbaglio, questo approccio è stato utilizzato su Cookie Clicker, un browser game relativamente popolare.

  • Probabilmente la cosa migliore: se si tratta di un browser game o no, usa un'autenticazione di terze parti e lascia che gestiscano. Che si tratti di Google, Facebook, Auth0, ecc. In questo modo ti fideresti di loro per memorizzare correttamente le password e ti faranno sapere. La cosa brutta è che questo potrebbe caricarti dopo aver raggiunto una quantità di utenti, come esempio per Auth0 ottieni 7.000 utenti attivi gratuiti e amp; accessi illimitati. Quindi devi pagare.

  • Pessima idea se non sai cosa stai facendo: accetta le password generate dagli utenti e memorizzale correttamente, attiva l'account via email per verificare che l'utente abbia usato la sua vera e-mail e consentire la reimpostazione della password via e-mail. Questo potrebbe davvero essere difficile da ottenere e davvero male è che si incasina. Anche le grandi aziende hanno incasinato questo.

  • Mescolando gli ultimi due suggerimenti. Se un utente preferisce autenticarsi usando Facebook, lascialo fare, se preferisce creare una password lascialo fare.

risposta data 05.03.2018 - 17:05
fonte

Leggi altre domande sui tag

Approccio alla progettazione dell'architettura per la raccolta metrica C'è qualche ragione per usare il rendering lato server invece di HTTP API + JS Frontend? [chiuso]