Genera automaticamente password durante la registrazione?

Naviga le tue risposte
9

Sto sviluppando un sistema di registrazione per un progetto su cui sto lavorando.

Poiché gli utenti tendono a non iscriversi se il processo è troppo lungo, ho pensato di richiedere (almeno inizialmente) solo la loro e-mail, in cui vorrei inviare loro la password generata automaticamente (e che mi permetterebbe anche di verificare il loro indirizzo email). Ciò impedirebbe anche loro di scegliere una password debole per completare rapidamente la registrazione.

Non ho trovato alcun aspetto negativo finora, ma temo che ce ne siano alcuni in quanto non ho mai visto un sito che utilizza questo sistema.

È una buona idea?

PS: ovviamente sto anche implementando la registrazione tramite Facebook e altri servizi simili per consentire alle persone di iscriversi velocemente senza la necessità di una password, ma molti potrebbero voler scegliere la classica registrazione per problemi di privacy o perché non utilizzare nessuno di questi servizi.

    
posta Stubborn 30.06.2015 - 20:04
fonte

2 risposte

13

Il problema è che una password dovrebbe apparire in testo semplice il più raramente possibile.

Nel tuo caso, la password viene visualizzata in formato testo in una e-mail. Questo ha diversi inconvenienti:

  • Se l'account della persona viene compromesso, anche l'hacker accede al tuo sito web.

  • Se c'è un uomo malvagio nel mezzo, può accedere facilmente alla password.

Inoltre:

  • Le password generate automaticamente sono difficili da ricordare, quindi invece di rendere la vita più facile per i tuoi utenti, la stai rendendo più difficile e allo stesso tempo incoraggiare a scrivere la password su un Post-it, che potrebbe non essere la cosa migliore in termini di sicurezza.

Questo è il motivo per cui la maggior parte dei siti Web che generano tali password durante la registrazione li rendono password monouso. In altre parole, l'utente riceve una e-mail con una password casuale, ma una volta che lo utilizza per accedere, il sito Web richiede immediatamente la nuova password scelta dall'utente, evitando i tre inconvenienti sopra menzionati.

    
risposta data 01.07.2015 - 00:52
fonte
4

Onestamente, non ha molto valore.

1) La maggior parte delle persone usa la propria password che ricorda. Se lo fanno, quindi far cambiare la loro password richiederà più tempo di riempire un campo in più durante la registrazione.

Il vantaggio del tuo sistema potrebbe essere che l'utente è registrato per non perderlo.

2) Se utilizzano un gestore di password, è più facile semplicemente fare in modo che gestore di password inserisca il nome utente preferito e una password casuale con 1 clic piuttosto che dover modificare il file in seguito e inserire il tuo generato password (probabile che occorra 3 o 4 clic in più).

3) Il sistema attuale è così ampiamente utilizzato che alcune persone saranno confuse dalla mancanza di un campo password (come ho fatto con google, ma è google e mi fido di esso).

    
risposta data 30.06.2015 - 23:51
fonte

Leggi altre domande sui tag

Quali sono le buone strategie di check-in per il controllo del codice sorgente per attività di grandi dimensioni? L'omissione di "destructors" in C sta portando YAGNI troppo lontano?