Opracowuję system rejestracji dla projektu, nad którym pracuję.
Ponieważ użytkownicy zwykle nie rejestrują się, jeśli proces jest zbyt długi, pomyślałem, że potrzebuję (przynajmniej początkowo) tylko ich e-maila, do którego wyślę im automatycznie wygenerowane hasło (i to pozwoli mi również zweryfikować ich adres e-mail) ). To również uniemożliwiłoby im wybranie słabego hasła w celu szybkiego zakończenia rejestracji.
Do tej pory nie znalazłem żadnych wad, ale obawiam się, że są takie, ponieważ nigdy nie widziałem strony używającej tego systemu.
Czy to dobry pomysł?
PS: oczywiście wdrażam również rejestrację za pośrednictwem Facebooka i innych podobnych usług, aby umożliwić ludziom szybką rejestrację bez potrzeby podawania hasła, ale wielu może chcieć wybrać klasyczną rejestrację ze względu na prywatność lub dlatego, że nie korzystać z którejkolwiek z tych usług.
Odpowiedzi:
Problem polega na tym, że hasło powinno pojawiać się zwykłym tekstem tak rzadko, jak to możliwe.
W twoim przypadku hasło pojawia się w postaci zwykłego tekstu w wiadomości e-mail. Ma to kilka wad:
Jeśli konto tej osoby zostanie przejęte, haker uzyska również dostęp do Twojej witryny.
Jeśli na środku znajduje się złośliwy człowiek, może on łatwo uzyskać dostęp do hasła.
Co więcej:
Dlatego większość stron internetowych, które generują takie hasła podczas rejestracji, czynią je hasłami jednorazowymi. Innymi słowy, użytkownik otrzymuje wiadomość e-mail z losowym hasłem, ale gdy użyje go do zalogowania, strona internetowa natychmiast prosi o nowe hasło wybrane przez użytkownika, zapobiegając trzem wspomnianym wyżej wadom.
źródło
Szczerze mówiąc, nie ma to wiele wartości.
1) Większość ludzi używa własnego hasła, które pamięta. Jeśli tak, to zmiana hasła zajmie więcej czasu niż wypełnienie dodatkowego pola podczas rejestracji.
Zaletą twojego systemu może być to, że do tego czasu użytkownik jest zarejestrowany, więc go nie stracisz.
2) Jeśli używają menedżera haseł, łatwiej jest po prostu sprawić, aby menedżer haseł wypełnił preferowaną nazwę użytkownika i losowe hasło jednym kliknięciem, niż musiał później edytować plik i wstawić wygenerowane hasło (prawdopodobnie potrzeba 3 lub 4 kliknięć dodatkowych ).
3) Obecny system jest tak szeroko wykorzystywany, że niektórym ludziom będzie brakować pola hasła (tak jak zrobiłem z google, ale to google i ufam temu).
źródło