คำถามนี้เกิดขึ้นในวันนี้ขณะที่พูดคุยกับเพื่อนร่วมงานเกี่ยวกับหน้า 'สร้างบัญชี' สำหรับเว็บไซต์ที่เรากำลังดำเนินการ
ความคิดเห็นของเพื่อนร่วมงานของฉันคือเราควรทำการลงทะเบียนอย่างรวดเร็วและราบรื่นที่สุดเท่าที่จะทำได้ดังนั้นเราควรขออีเมลจากผู้ใช้และดูแลส่วนที่เหลือ
ฉันเห็นด้วยกับความตั้งใจ แต่ฉันมีข้อกังวลเล็กน้อยเกี่ยวกับเรื่องนี้:
- เนื่องจากเราสร้างรหัสผ่านเรามีหน้าที่ตรวจสอบให้แน่ใจว่ารหัสผ่านนั้นแข็งแรงพอ
- จากประสบการณ์ของฉันเมื่อเผชิญหน้ากับรหัสผ่านที่ไม่สามารถเข้าใจได้ผู้ใช้มักจะจดไว้ในโพสต์
- ผู้ใช้ที่ไม่ได้เขียนรหัสผ่านมีแนวโน้มที่จะลืมมัน ซึ่งหมายความว่าพวกเขาจะต้องขอรหัสผ่านใหม่เป็นประจำและไม่สนุกสำหรับทุกคน
อย่างไรก็ตามเมื่อพิจารณาถึงคุณภาพทั่วไปของรหัสผ่านที่สร้างโดยผู้ใช้และความจริงที่ว่ามีคนจำนวนมากเกินไปที่จะใช้รหัสผ่านเดียวกันสำหรับทุกอย่าง ('ตัวสั่น') ฉันสามารถดูได้ว่าการสร้างรหัสผ่านที่แข็งแกร่งสำหรับพวกเขา
ฉันยังรู้สึกขาดมัน เรากำลังทำงานบนเว็บไซต์ร้านค้าที่ผู้ใช้มีตัวเลือกในการบันทึกรายละเอียดบัตรเครดิตของเขาดังนั้นจึงเป็นสิ่งสำคัญอย่างยิ่งที่เราต้องใช้วิธีการที่ปลอดภัยที่สุด
3
ฉันคิดว่ามีใครบางคนมีการอ้างอิงนี้: xkcd: ความแข็งแรงของรหัสผ่าน
—
candied_orange
@CandledOrange Obligatory อ้างอิง XKCD
—
Dryr
ในฐานะผู้บริโภคช่วงเวลาที่ฉันใช้ไซต์ของคุณและคุณสร้างรหัสผ่านให้ฉันคือช่วงเวลาที่ฉันลบบัญชีของฉัน
—
Eric King
บางทีคำถามนี้จะเหมาะสำหรับผู้ใช้ประสบการณ์ SE มีคำถามที่คล้ายกันพร้อมคำตอบที่น่าสนใจอยู่เช่นกัน: คุณจะกำจัดฟิลด์รหัสผ่านในแบบฟอร์มสมัครใช้งานหรือไม่
—
insertusernamehere
อีเมลไม่ใช่ช่องทางการสื่อสารที่ปลอดภัย อย่าส่งรหัสผ่านทางอีเมล โทเค็นที่ใช้งานได้ในระยะเวลาอันสั้น (เช่น 24 ชั่วโมง) อาจใช้ได้ คุณไม่สามารถหลีกเลี่ยงรหัสผ่านได้ แต่คุณอาจสนับสนุนให้ใช้ตัวจัดการรหัสผ่าน: ซอฟต์แวร์เฉพาะ "จดจำรหัสผ่านของฉัน" คุณสมบัติของเบราว์เซอร์และโน้ตบุ๊กทางกายภาพล้วนเป็นกลยุทธ์ที่ถูกต้อง การให้รหัสผ่านไม่สนับสนุนพฤติกรรมการรักษาความปลอดภัยที่ดี นอกจากนี้ยังใช้ตัวเลือกการเข้าสู่ระบบเช่น "ลงชื่อเข้าใช้ด้วย Google" ซึ่งคุณไม่ต้องเก็บรหัสผ่าน ใช้ตัวประมวลผลการชำระเงินภายนอกเพื่อที่ฉันจะได้ไม่ต้องเชื่อถือเว็บไซต์ของคุณด้วยรายละเอียดการชำระเงินของฉัน
—
amon