Apakah secara otomatis menghasilkan kata sandi saat pendaftaran adalah ide yang bagus?

9

Saya sedang mengembangkan sistem registrasi untuk proyek yang sedang saya kerjakan.

Karena pengguna cenderung tidak mendaftar jika prosesnya terlalu lama, saya berpikir untuk meminta (paling tidak pada awalnya) hanya email mereka, di mana saya akan mengirimi mereka kata sandi yang dihasilkan secara otomatis (dan itu juga akan memungkinkan saya memverifikasi alamat email mereka ). Itu juga akan mencegah mereka memilih kata sandi yang lemah untuk menyelesaikan pendaftaran dengan cepat.

Saya belum menemukan kelemahannya sejauh ini, tapi saya khawatir ada beberapa karena saya belum pernah melihat situs menggunakan sistem ini.

Apakah itu ide yang bagus?

PS: tentu saja saya juga menerapkan pendaftaran melalui Facebook dan layanan serupa lainnya untuk memungkinkan orang mendaftar dengan cepat tanpa perlu kata sandi, tetapi banyak yang mungkin ingin memilih pendaftaran klasik untuk masalah privasi atau karena mereka tidak mendaftar. gunakan salah satu dari layanan tersebut.

php javascript html5 user-interface user-experience Keras kepala
sumber
3
Kedengarannya luar biasa, satu-satunya hal yang saya khawatirkan adalah kata sandi terlalu keras dan orang tidak mengingatnya. Jadi saya akan menambahkan layar awal untuk mengubah kata sandi saat pengguna Anda pertama kali masuk.
Alexus
1
Atau, lebih tepatnya saran bagi mereka untuk berubah sehingga sangat menonjol bahwa mereka dapat kapan saja mereka inginkan, tetapi saya sendiri, sebagai pengguna saya tidak akan segera mengubah kata sandi saya, mungkin lain kali saya masuk.
Alexus
1
Saya tidak berpikir itu akan menghalangi mendaftar, tetapi sebagai pengguna saya melihatnya sebagai penghalang karena sekali mendaftar saya kemudian harus pergi mengubah kata sandi saya ke pilihan saya. Kecuali Anda tidak menawarkan opsi itu, dan itu akan lebih membuat frustrasi.
Terakhir1 Di Sini
5
Dengan mengirim kata sandi ke email, dianggap sebagai masalah keamanan . Pendekatan pribadi saya dalam hal ini adalah bahwa pada saat mendaftar, pengguna tidak memberikan (atau mendapatkan) kata sandi sama sekali. Dia masuk ke aplikasi dan dia menerima email verifikasi. Pada halaman verifikasi Anda memintanya untuk menetapkan kata sandi untuk akunnya.
Tasos K.
2
Nah, saya pikir saran terbaik dari @TasosK. - Anda baru saja mencatat seseorang dan mengirim email konfirmasi. Dalam email itu terdapat tautan yang mirip dengan tautan setel ulang kata sandi yang melakukan keduanya: mengonfirmasi email dan meminta pengguna untuk memasukkan kata sandi setelah mengklik tautan itu.
Alexus

Jawaban:

13

Masalahnya adalah bahwa kata sandi harus muncul dalam teks biasa sesering mungkin.

Dalam kasus Anda, kata sandi muncul dalam teks biasa dalam surel. Ini memiliki beberapa kelemahan:

  • Jika akun orang tersebut disusupi, peretas juga mendapat akses ke situs web Anda.

  • Jika ada orang jahat di tengah, ia dapat mengakses kata sandi dengan mudah.

Bahkan:

  • Kata sandi yang dibuat secara otomatis sulit untuk diingat, jadi alih-alih membuat hidup lebih mudah bagi pengguna Anda, Anda membuatnya lebih sulit dan pada saat yang sama mendorong untuk menuliskan kata sandi pada Post-it, yang mungkin bukan yang terbaik dalam hal keamanan.

Inilah sebabnya mengapa sebagian besar situs web yang menghasilkan kata sandi seperti itu selama registrasi menjadikannya kata sandi sekali pakai. Dengan kata lain, pengguna menerima email dengan kata sandi acak, tetapi begitu ia menggunakannya untuk masuk, situs web segera meminta kata sandi baru yang dipilih oleh pengguna, mencegah tiga kelemahan yang disebutkan di atas.

Arseni Mourzenko
sumber
2
"Jika akun orang tersebut disusupi, peretas juga mendapat akses ke situs web Anda." Itu akan selalu terjadi, setidaknya jika Anda memiliki pengaturan ulang kata sandi - yang kemungkinan besar akan Anda miliki.
kat0r
1
@ kat0r: ya, secara umum. Masih ada beberapa kasus kecil di mana bukan itu kasusnya. Satu kasus adalah ketika seorang hacker dapat mengkonfigurasi akun email untuk meneruskan semua email kepadanya: ia tidak dapat meminta pengaturan ulang kata sandi, karena ini mungkin terlihat mencurigakan bagi pemilik akun email tersebut.
Arseni Mourzenko
Juga ingat bahwa kata sandi yang dibuat-buat super-duper mungkin sebenarnya tidak lebih aman daripada kata sandi yang dihasilkan pengguna yang baik: xkcd.com/936
CD001
@ CD001: itu sebabnya disarankan menggunakan kata sandi yang dibuat secara acak alih-alih kata sandi yang dibuat secara acak , dengan manfaat menjadi sangat ramah pengguna.
Arseni Mourzenko
4

Sejujurnya, tidak ada banyak nilai untuk itu.

1) Kebanyakan orang menggunakan kata sandi mereka sendiri yang mereka ingat. Jika mereka melakukannya, maka membuat mereka mengubah kata sandi mereka akan memakan waktu lebih lama daripada mengisi bidang tambahan saat pendaftaran.

Manfaat dari sistem Anda mungkin bahwa pada saat itu pengguna terdaftar sehingga Anda tidak akan kehilangan itu.

2) Jika mereka menggunakan pengelola kata sandi, lebih mudah untuk membuat pengelola kata sandi mengisi nama pengguna yang diinginkan dan kata sandi acak dengan 1 klik daripada harus mengedit file sesudahnya dan memasukkan kata sandi yang Anda hasilkan (kemungkinan akan mengambil 3 atau 4 klik tambahan ).

3) Sistem saat ini sangat banyak digunakan sehingga beberapa orang akan bingung oleh kurangnya bidang kata sandi (seperti yang saya lakukan dengan google, tapi itu google dan saya percaya).

Claudiu Creanga
sumber