アカウントの作成中に、パスワードを自動的に生成してユーザーに送信するか、ユーザーが自分でパスワードを作成できるようにする方が良いでしょうか？

この質問は、私たちが取り組んでいるウェブサイトの「アカウントの作成」ページについて同僚と話し合っているときに今日出てきました。

私の同僚の意見では、登録をできるだけ迅速かつシームレスに行う必要があるため、ユーザーにメールを尋ねて残りを処理するだけです。

私はその意図に同意しますが、いくつかの懸念があります。

我々はパスワードを生成するので、我々は持っているパスワードが強い十分であることを確認する責任を
私の経験では、わかりにくいパスワードに直面したとき、ユーザーはそれを投稿に書き留める可能性が高い
パスワードを書き留めていないユーザーは、パスワードを忘れる可能性が高いです。つまり、定期的に新しいパスワードを要求する必要があり、誰にとっても面白くない

ただし、ユーザーが作成したパスワードの一般的な品質と、多くの人がすべて（「震え」）に同じパスワードを使用する傾向があるという事実を考えると、強力なパスワードを生成することが理にかなっていることがわかります。

私はまだそれについて不安を感じています。ユーザーがクレジットカードの詳細を保存するオプションを持つ商人のウェブサイトに取り組んでいるので、最も安全なアプローチを使用することが明らかに非常に重要です。

security passwords

— ドライヤー
ソース

私は誰かがこれを参照しなければならないと思います：xkcd：パスワード強度

— -candied_orange

@CandledOrange義務的なXKCDリファレンス

— ドライヤー

消費者として、あなたのサイトを使用してパスワードを生成した瞬間は、アカウントを削除した瞬間です。

— エリックキング

たぶん、この質問は、ユーザーエクスペリエンスSEにより適しています。同様の興味深い回答がすでにあります。サインアップフォームでパスワードフィールドを削除しますか？

— insertusernamehere

メールは安全な通信チャネルではありません。パスワードをメールで送信しないでください。短期間（24時間など）だけ有効なトークンでも構いません。パスワードを避けることはできませんが、専用のソフトウェア、「パスワードを記憶する」ブラウザ機能、物理的なノートブックはすべて正当な戦略です。パスワードを提供しても、適切なセキュリティ習慣は奨励されません。さらに、パスワードを保存しない「Googleでサインイン」などのログインオプションを実装します。外部支払いプロセッサを使用して、支払いの詳細についてサイトを信頼する必要がないようにします。

— アモン

電子メールアプローチの利点は、この方法により、ユーザーが自分が制御する有効な電子メールアカウントを提供したことを確認することです。

ただし、電子メールチャネルは安全ではないことで有名です。これは、パスワードが傍受される可能性があることを意味します。したがって、この方法は、生成されたパスワードが最初のログインで1回だけ使用され、ユーザーが変更する必要があることが確実な場合にのみ検討する必要があります。

Webサイトへのtls / ssl接続は、気付かれずに傍受するのがはるかに難しいという意味で、直接的なアプローチはより安全です。

— クリストフ
ソース

通常、両方のアプローチが一緒に使用されます。電子メールとパスワードを入力し、アクティベーションリンクを含む電子メールを受信します。

— -mouviciel

@mouvicielはい、そうです。パスワードとリンクを使用するこの2段階のアプローチは、使用される最も一般的なアプローチのようです。理由がないわけではありません。一般的に、アクティベーションリンクは、ログインではなくアクティベーションにのみ使用されるためです。OPの場合、これにはアクティベーションリンクを送信し、アカウントのアクティベーションを追跡するためのロジックを開発する必要があります。

— クリストフ