この質問は、私たちが取り組んでいるウェブサイトの「アカウントの作成」ページについて同僚と話し合っているときに今日出てきました。
私の同僚の意見では、登録をできるだけ迅速かつシームレスに行う必要があるため、ユーザーにメールを尋ねて残りを処理するだけです。
私はその意図に同意しますが、いくつかの懸念があります。
- 我々はパスワードを生成するので、我々は持っているパスワードが強い十分であることを確認する責任を
- 私の経験では、わかりにくいパスワードに直面したとき、ユーザーはそれを投稿に書き留める可能性が高い
- パスワードを書き留めていないユーザーは、パスワードを忘れる可能性が高いです。つまり、定期的に新しいパスワードを要求する必要があり、誰にとっても面白くない
ただし、ユーザーが作成したパスワードの一般的な品質と、多くの人がすべて(「震え」)に同じパスワードを使用する傾向があるという事実を考えると、強力なパスワードを生成することが理にかなっていることがわかります。
私はまだそれについて不安を感じています。ユーザーがクレジットカードの詳細を保存するオプションを持つ商人のウェブサイトに取り組んでいるので、最も安全なアプローチを使用することが明らかに非常に重要です。
3
私は誰かがこれを参照しなければならないと思います:xkcd:パスワード強度
—
-candied_orange
@CandledOrange義務的なXKCDリファレンス
—
ドライヤー
消費者として、あなたのサイトを使用してパスワードを生成した瞬間は、アカウントを削除した瞬間です。
—
エリックキング
メールは安全な通信チャネルではありません。パスワードをメールで送信しないでください。短期間(24時間など)だけ有効なトークンでも構いません。パスワードを避けることはできませんが、専用のソフトウェア、「パスワードを記憶する」ブラウザ機能、物理的なノートブックはすべて正当な戦略です。パスワードを提供しても、適切なセキュリティ習慣は奨励されません。さらに、パスワードを保存しない「Googleでサインイン」などのログインオプションを実装します。外部支払いプロセッサを使用して、支払いの詳細についてサイトを信頼する必要がないようにします。
—
アモン