Generare automaticamente password durante la registrazione è una buona idea?

9

Sto sviluppando un sistema di registrazione per un progetto a cui sto lavorando.

Poiché gli utenti tendono a non registrarsi se il processo è troppo lungo, ho pensato di richiedere (almeno inizialmente) solo la loro e-mail, dove avrei inviato loro la password generata automaticamente (e ciò mi avrebbe anche permesso di verificare il loro indirizzo e-mail ). Ciò impedirebbe anche loro di scegliere una password debole per completare rapidamente la registrazione.

Finora non ho trovato alcun lato negativo, ma temo che ce ne siano alcuni in quanto non ho mai visto un sito che utilizza questo sistema.

È una buona idea?

PS: ovviamente sto anche implementando l'iscrizione tramite Facebook e altri servizi simili per consentire alle persone di registrarsi rapidamente senza la necessità di una password, ma molti potrebbero voler scegliere la classica iscrizione per motivi di privacy o perché non lo fanno utilizzare uno di questi servizi.

php  javascript  html5  user-interface  user-experience 
Testardo
fonte
3
Sembra brillante, l'unica cosa di cui mi preoccuperei è che le password sono troppo difficili e la gente non se lo ricorda. Quindi aggiungerei una schermata iniziale per cambiare la password al primo accesso degli utenti.
Alexus,
1
O, piuttosto, un suggerimento per loro di cambiare, quindi è importante che possano farlo in qualsiasi momento, ma io stesso, come utente, non cambierei subito la mia password, potrebbe essere la prossima volta che eseguo l'accesso.
Alexus,
1
Non credo che ostacolerà la registrazione, ma come utente lo vedo come un ostacolo perché una volta effettuata la registrazione dovrò quindi cambiare la mia password in una scelta. A meno che tu non offra questa opzione, e sarebbe ancora più frustrante.
Last1Here
5
Inviando la password a un'e-mail, è considerato un problema di sicurezza . Il mio approccio personale su questo è che al momento della registrazione l'utente non fornisce (o ottiene) una password. Accede all'applicazione e riceve un'e-mail di verifica. Nella pagina di verifica gli chiedi di impostare una password per il suo account.
Tasos K.,
2
No, penso che il miglior suggerimento sia di @TasosK. - accedi a una persona e invii un'email di conferma. In quella email c'è un link simile al link di reimpostazione della password che fa entrambe le cose: conferma l'e-mail e richiede all'utente di inserire la password facendo clic su quel link.
Alessio

Risposte:

13

Il problema è che una password dovrebbe apparire in testo semplice il più raramente possibile.

Nel tuo caso, la password appare in testo semplice in un'e-mail. Ciò ha diversi inconvenienti:

  • Se l'account della persona è compromesso, l'hacker ottiene anche l'accesso al tuo sito Web.

  • Se c'è un malizioso nel mezzo, può accedere facilmente alla password.

Inoltre:

  • Le password generate automaticamente sono difficili da ricordare, quindi invece di semplificare la vita ai tuoi utenti, le stai rendendo più difficili e allo stesso tempo incoraggia a scrivere la password su un Post-it, che potrebbe non essere la cosa migliore in termini di sicurezza.

Questo è il motivo per cui la maggior parte dei siti Web che generano tali password durante la registrazione le rende password monouso. In altre parole, l'utente riceve un'e-mail con una password casuale, ma una volta che la utilizza per accedere, il sito Web richiede immediatamente la nuova password scelta dall'utente, evitando i tre inconvenienti sopra menzionati.

Arseni Mourzenko
fonte
2
"Se l'account della persona è compromesso, anche l'hacker ha accesso al tuo sito Web." Ciò accadrà sempre, almeno se hai una reimpostazione della password, che molto probabilmente avrai.
Kat0r
1
@ kat0r: sì, in generale. Ci sono ancora alcuni casi marginali in cui non è il caso. Un caso è quando un hacker può semplicemente configurare l'account e-mail per inoltrare tutte le e-mail a lui: non può chiedere la reimpostazione della password, perché potrebbe sembrare sospetto per il proprietario dell'account e-mail.
Arseni Mourzenko,
Ricorda inoltre che la password generata automaticamente dal super-duper potrebbe non essere più sicura di una buona password generata dall'utente: xkcd.com/936
CD001
@ CD001: ecco perché è stato suggerito l' uso di passphrase generati casualmente anziché di password generate casualmente , con il vantaggio di essere molto, molto intuitivi.
Arseni Mourzenko,
4

Onestamente, non ha molto valore.

1) La maggior parte delle persone usa la propria password che ricorda. In tal caso, la modifica della password richiederà più tempo rispetto alla compilazione di un campo aggiuntivo durante la registrazione.

Il vantaggio del tuo sistema potrebbe essere che a quel punto l'utente è registrato in modo da non perderlo.

2) Se usano un gestore di password è più semplice fare in modo che il gestore di password inserisca il loro nome utente preferito e una password casuale con 1 clic piuttosto che dover modificare il file in seguito e inserire la password generata (probabilmente con 3 o 4 clic in più ).

3) L'attuale sistema è così ampiamente utilizzato che alcune persone saranno confuse dalla mancanza di un campo password (come ho fatto con Google, ma è Google e mi fido di esso).

Claudiu Creanga
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.