登録時にパスワードを自動生成するのは良い考えですか?


9

現在取り組んでいるプロジェクトの登録システムを開発しています。

プロセスが長すぎる場合、ユーザーはサインアップしない傾向があるため、私は(少なくとも最初は)電子メールのみを必要とすると考えました。ここで、自動生成されたパスワードを送信します(これにより、電子メールアドレスを確認することもできます) )。また、登録を迅速に完了するために、弱いパスワードを選択することもできなくなります。

今までのところ、マイナス面は発見されていませんが、このシステムを使用しているサイトを見たことがないので、残念な点がいくつかあります。

それは良い考えですか?

PS:もちろんFacebookや他の同様のサービスを介してサインアップも実装し、人々がパスワードを必要とせずにすばやくサインアップできるようにしますが、多くの人は、プライバシーの懸念から、またはそうでないために、クラシックサインアップを選択したいと思うかもしれません。それらのサービスのいずれかを使用します。


3
それは素晴らしいように思えます、私が心配する唯一のことはパスワードが強すぎることと人々がそれを覚えていないことです。したがって、ユーザーが最初にログインしたときにパスワードを変更するための初期画面を追加します。
Alexus

1
または、彼らがいつでも好きなときに目立つように変更するよう提案することもできますが、私自身は、ユーザーとしてすぐにパスワードを変更したくないので、次回ログインするときかもしれません。
Alexus

1
私はそれがサインアップを妨げるとは思わないが、ユーザーとしては、サインアップしたら自分が選択したパスワードに変更しなければならないので、それは邪魔だと思う。あなたがそのオプションを提供しない限り、そしてそれはさらにいらいらするでしょう。
Last1Here

5
パスワードをメールで送信することは、セキュリティ上の問題と見なされます。これに関する私の個人的なアプローチは、サインアップ時にユーザーがパスワードを提供(または取得)しないことです。彼はアプリケーションにログインし、確認メールを受け取ります。確認ページで、彼にアカウントのパスワードを設定するように依頼します。
Tasos K.

2
いや、最高の提案は@TasosKからだと思います。-あなたはただ人nを記録し、確認メールを送信します。その電子メールには、パスワードリセットリンクと同様のリンクがあり、両方を実行します。電子メールを確認し、そのリンクをクリックするとパスワードの入力をユーザーに求めます。
Alexus

回答:


13

問題は、パスワードがプレーンテキストで表示されることは、ほとんどありません。

あなたの場合、パスワードは電子メールにプレーンテキストで表示されます。これにはいくつかの欠点があります:

  • その人のアカウントが侵害された場合、ハッカーはあなたのウェブサイトにもアクセスできます。

  • 途中に悪意のある人がいた場合、簡単にパスワードにアクセスできます。

さらに:

  • 自動生成されたパスワードは覚えるのが難しいので、ユーザーの利便性を向上させる代わりに、パスワードを書き留めることを難しくし、同時にポストイットにパスワードを書き留めることをお勧めします。セキュリティの観点から。

これが、登録時にそのようなパスワードを生成するほとんどのWebサイトが使い捨てパスワードにする理由です。つまり、ユーザーはランダムなパスワードを含む電子メールを受信しますが、それを使用してログインすると、Webサイトはすぐにユーザーが選択した新しいパスワードを要求し、上記の3つの欠点を防ぎます。


2
「その人のアカウントが侵害された場合、ハッカーはあなたのウェブサイトにもアクセスできます。」これは、少なくともパスワードのリセットがある場合は常に発生します。
kat0r

1
@ kat0r:はい、一般的に。それはそうではないいくつかの限界的なケースがまだあります。1つのケースは、ハッカーがメールアカウントを設定してすべての電子メールを彼に転送できる場合です。電子メールアカウントの所有者に疑わしいと思われるため、パスワードのリセットを要求することはできません。
Arseni Mourzenko 2015

:超大型の自動生成されたパスワードが実際には、より優れたユーザー生成されたパスワードよりも安全ではない可能性がありますことを心にも負担をxkcd.com/936
CD001

@ CD001:ランダムに生成されたパスワードの代わりにランダムに生成されたパスフレーズを使用することが提案されたのはそのためです。
Arseni Mourzenko 2015

4

正直なところ、それほど価値はありません。

1)ほとんどの人は覚えている自分のパスワードを使用します。その場合、パスワードを変更させると、登録時に追加フィールドに入力するよりも時間がかかります。

あなたのシステムの利点は、それまでにユーザーが登録されているので、それを失うことがないということかもしれません。

2)ユーザーがパスワードマネージャーを使用している場合、後でファイルを編集して生成されたパスワードを挿入するよりも、1回のクリックでパスワードマネージャーに希望のユーザー名とランダムなパスワードを入力させるだけの方が簡単です(追加で3または4クリックかかる可能性があります)。 )。

3)現在のシステムは非常に広く使用されているため、パスワードフィールドがないために混乱する人もいます(グーグルでやったように、グーグルで信頼しています)。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.