Durante la creazione dell'account, è meglio generare automaticamente la password e inviarla all'utente, oppure consentire all'utente di creare la propria password?

11

Questa domanda è nata oggi mentre discutevamo con un collega della pagina "crea account" per il sito web su cui stiamo lavorando.

L'opinione del mio collega è che dovremmo rendere la registrazione il più rapida e semplice possibile, quindi dovremmo solo chiedere all'utente la sua email e occuparci del resto.

Sono d'accordo con l'intenzione, ma ho alcune preoccupazioni al riguardo:

  • Da quando generiamo la password, abbiamo avere la responsabilità di assicurarci che la password sia abbastanza potente
  • Nella mia esperienza, quando mi trovo di fronte a una password incomprensibile, è probabile che gli utenti lo scrivano su un post di questo
  • Gli utenti che non scrivono la password, probabilmente lo dimenticheranno. Il che significa che dovranno chiedere regolarmente una nuova password, e questo non è divertente per nessuno

Tuttavia, considerando la qualità generale delle password create dagli utenti e il fatto che troppe persone tendano ad usare la stessa password per tutto ('shudders'), posso vedere come avrebbe senso generare una password sicura per loro.

Mi sento ancora lacerato. Stiamo lavorando su un sito web di un commerciante in cui l'utente ha la possibilità di salvare i dettagli della sua carta di credito, quindi è ovviamente molto importante utilizzare un approccio più sicuro.

    
posta Dryr 27.10.2017 - 02:36
fonte

1 risposta

11

Il vantaggio dell'approccio all'email è che ti assicuri in questo modo che l'utente abbia fornito un account email valido che controlla.

Tuttavia, il canale email è notoriamente insicuro. Ciò significa che la password potrebbe essere intercettata. Pertanto, questo approccio dovrebbe essere preso in considerazione solo se la password generata viene utilizzata una sola volta, al primo accesso e se è garantito che l'utente debba modificarlo.

L'approccio diretto è più sicuro, nel senso che una connessione tls / ssl al tuo sito web è molto più difficile da intercettare senza essere notata.

    
risposta data 27.10.2017 - 09:15
fonte

Leggi altre domande sui tag