การสร้างรหัสผ่านโดยอัตโนมัติในระหว่างการลงทะเบียนเป็นความคิดที่ดีหรือไม่

ฉันกำลังพัฒนาระบบการลงทะเบียนสำหรับโครงการที่ฉันกำลังทำอยู่

เนื่องจากผู้ใช้มักจะไม่สมัครใช้งานหากกระบวนการนี้ยาวเกินไปฉันคิดว่าจะต้อง (อย่างน้อยเริ่มต้น) เพียงแค่อีเมลของพวกเขาซึ่งฉันจะส่งรหัสผ่านที่สร้างขึ้นโดยอัตโนมัติให้พวกเขา (และนั่นจะทำให้ฉันสามารถยืนยันที่อยู่อีเมลของพวกเขาได้ ) ซึ่งจะป้องกันไม่ให้พวกเขาเลือกรหัสผ่านที่ไม่รัดกุมเพื่อให้การลงทะเบียนเสร็จสมบูรณ์อย่างรวดเร็ว

ฉันยังไม่พบข้อเสีย แต่ฉันกลัวว่ามีบางอย่างที่ฉันไม่เคยเห็นไซต์ที่ใช้ระบบนี้

นั่นเป็นความคิดที่ดีหรือไม่?

PS: แน่นอนฉันยังสมัครใช้งานผ่าน Facebook และบริการอื่น ๆ ที่คล้ายกันเพื่อให้ผู้คนสมัครใช้งานได้อย่างรวดเร็วโดยไม่ต้องใช้รหัสผ่าน แต่หลายคนอาจต้องการเลือกสมัครใช้แบบดั้งเดิมสำหรับข้อกังวลด้านความเป็นส่วนตัวหรือเพราะพวกเขาไม่ ใช้บริการเหล่านั้น

— ปากแข็ง
แหล่งที่มา

มันฟังดูยอดเยี่ยมสิ่งเดียวที่ฉันต้องกังวลคือรหัสผ่านนั้นยากเกินไปและคนจำไม่ได้ ดังนั้นฉันจะเพิ่มหน้าจอเริ่มต้นเพื่อเปลี่ยนรหัสผ่านเมื่อผู้ใช้ของคุณเข้าสู่ระบบครั้งแรก

— Alexus

หรือค่อนข้างคำแนะนำสำหรับพวกเขาที่จะเปลี่ยนดังนั้นจึงเป็นเรื่องสำคัญที่พวกเขาสามารถทำได้ทุกเวลาที่ต้องการ แต่ตัวฉันเองในฐานะผู้ใช้ที่ฉันจะไม่เปลี่ยนรหัสผ่านทันทีอาจเป็นครั้งต่อไปที่ฉันเข้าสู่ระบบ

— Alexus

ฉันไม่คิดว่ามันจะขัดขวางการลงทะเบียน แต่ในฐานะผู้ใช้ฉันเห็นว่ามันเป็นอุปสรรคเพราะเมื่อลงชื่อสมัครใช้ฉันจะต้องเปลี่ยนรหัสผ่านเป็นรหัสที่ฉันเลือก หากคุณไม่ได้เสนอตัวเลือกนั้นและนั่นจะทำให้คุณหงุดหงิดมากยิ่งขึ้น

— Last1 ที่นี่

โดยการส่งรหัสผ่านไปยังอีเมลถือว่าเป็นปัญหาด้านความปลอดภัย วิธีการส่วนตัวของฉันในเรื่องนี้คือเมื่อลงทะเบียนผู้ใช้จะไม่ให้ (หรือรับ) รหัสผ่านเลย เขาลงชื่อเข้าใช้แอปพลิเคชันและได้รับอีเมลยืนยัน ในหน้าการยืนยันคุณขอให้เขาตั้งรหัสผ่านสำหรับบัญชีของเขา

— Tasos K.

ไม่ฉันคิดว่าคำแนะนำที่ดีที่สุดมาจาก @TasosK - คุณเพียงแค่บันทึกชื่อ n และส่งอีเมลยืนยัน ในอีเมลนั้นมีลิงค์คล้ายกับลิงค์รีเซ็ตรหัสผ่านที่ทำทั้งสองอย่าง: ยืนยันอีเมลและแจ้งให้ผู้ใช้ป้อนรหัสผ่านเมื่อคลิกที่ลิงค์นั้น

— Alexus

คำตอบ:

ปัญหาคือรหัสผ่านควรปรากฏเป็นข้อความธรรมดาบ่อยที่สุดเท่าที่จะทำได้

ในกรณีของคุณรหัสผ่านจะปรากฏเป็นข้อความธรรมดาในอีเมล สิ่งนี้มีข้อบกพร่องหลายประการ:

หากบัญชีของบุคคลนั้นถูกแฮกเกอร์แฮกเกอร์ก็สามารถเข้าถึงเว็บไซต์ของคุณได้เช่นกัน
หากมีผู้ประสงค์ร้ายอยู่ตรงกลางเขาสามารถเข้าถึงรหัสผ่านได้อย่างง่ายดาย

นอกจากนี้:

รหัสผ่านที่สร้างขึ้นโดยอัตโนมัตินั้นยากต่อการจดจำดังนั้นแทนที่จะทำให้ผู้ใช้ของคุณง่ายขึ้นคุณจะทำให้มันยากขึ้นและในขณะเดียวกันก็สนับสนุนให้จดรหัสผ่านลงในโพสต์อิทซึ่งอาจไม่ใช่สิ่งที่ดีที่สุด ในแง่ของความปลอดภัย

นี่คือเหตุผลที่เว็บไซต์ส่วนใหญ่ที่สร้างรหัสผ่านดังกล่าวในระหว่างการลงทะเบียนทำให้เป็นรหัสผ่านแบบใช้ครั้งเดียว กล่าวอีกนัยหนึ่งผู้ใช้จะได้รับอีเมลพร้อมรหัสผ่านแบบสุ่ม แต่เมื่อเขาใช้เพื่อเข้าสู่ระบบเว็บไซต์จะขอรหัสผ่านใหม่ที่ผู้ใช้เลือกทันทีเพื่อป้องกันข้อเสียสามข้อที่กล่าวถึงข้างต้น

— Arseni Mourzenko
แหล่งที่มา

"หากบัญชีของบุคคลนั้นถูกแฮ็คเกอร์แฮกเกอร์ก็สามารถเข้าถึงเว็บไซต์ของคุณได้เช่นกัน" สิ่งนั้นจะเกิดขึ้นเสมออย่างน้อยถ้าคุณรีเซ็ตรหัสผ่านซึ่งเป็นไปได้มากที่สุดที่คุณจะทำได้

— kat0r

@ kat0r: ใช่โดยทั่วไป ยังมีบางกรณีที่ไม่ได้เป็นกรณี กรณีหนึ่งคือเมื่อแฮกเกอร์สามารถกำหนดค่าบัญชีอีเมลเพื่อส่งต่ออีเมลทั้งหมดถึงเขาได้เขาไม่สามารถขอรีเซ็ตรหัสผ่านได้เนื่องจากอาจเป็นที่น่าสงสัยสำหรับเจ้าของบัญชีอีเมล

— Arseni Mourzenko

โปรดจำไว้ว่ารหัสผ่านที่สร้างขึ้นโดยอัตโนมัติอาจไม่ปลอดภัยกว่ารหัสผ่านที่ผู้ใช้สร้างขึ้น: xkcd.com/936

— CD001

@ CD001: นั่นเป็นเหตุผลที่ใช้วลีรหัสผ่านที่สร้างแบบสุ่มแทนของรหัสผ่านที่สร้างแบบสุ่มได้รับการแนะนำที่มีประโยชน์ของการเป็นมากใช้มากเป็นมิตร

— Arseni Mourzenko

จริงๆแล้วมันมีคุณค่าไม่มากนัก

1) คนส่วนใหญ่ใช้รหัสผ่านของตัวเองที่พวกเขาจำได้ หากทำเช่นนั้นการเปลี่ยนรหัสผ่านจะใช้เวลานานกว่าการเติมฟิลด์พิเศษระหว่างการลงทะเบียน

ประโยชน์ของระบบของคุณอาจเป็นไปได้ว่าเมื่อผู้ใช้ลงทะเบียนแล้วคุณจะไม่สูญเสียมัน

2) หากพวกเขาใช้ตัวจัดการรหัสผ่านจะง่ายกว่าเพียงแค่ให้ตัวจัดการรหัสผ่านกรอกชื่อผู้ใช้ที่ต้องการและรหัสผ่านแบบสุ่มด้วย 1 คลิกแทนที่จะต้องแก้ไขไฟล์หลังจากนั้นและใส่รหัสผ่านที่คุณสร้างขึ้น )

3) ระบบปัจจุบันมีการใช้กันอย่างแพร่หลายจนบางคนอาจสับสนโดยไม่มีฟิลด์รหัสผ่าน (เหมือนที่ฉันทำกับ google แต่เป็น google และฉันเชื่อใจ)

— Claudiu Creanga
แหล่งที่มา