Ist es eine gute Idee, bei der Registrierung automatisch Passwörter zu generieren?

9

Ich entwickle ein Registrierungssystem für ein Projekt, an dem ich arbeite.

Da Benutzer dazu neigen, sich nicht anzumelden, wenn der Vorgang zu lang ist, habe ich (zumindest anfangs) nur ihre E-Mail-Adresse benötigt, an die ich ihnen ihr automatisch generiertes Passwort senden würde (und das es mir auch ermöglichen würde, ihre E-Mail-Adresse zu überprüfen ). Dies würde sie auch daran hindern, ein schwaches Passwort zu wählen, um die Registrierung schnell abzuschließen.

Ich habe bisher keine Nachteile gefunden, aber ich fürchte, es gibt einige, da ich noch nie eine Website mit diesem System gesehen habe.

Ist das eine gute Idee?

PS: Natürlich implementiere ich auch die Anmeldung über Facebook und andere ähnliche Dienste, damit sich die Leute schnell und ohne Passwort anmelden können, aber viele möchten vielleicht die klassische Anmeldung wählen, wenn sie Datenschutzbedenken haben oder weil sie dies nicht tun Verwenden Sie einen dieser Dienste.

Stur
quelle
3
Es klingt brillant, das einzige, worüber ich mir Sorgen machen würde, ist, dass Passwörter zu schwer sind und die Leute sich nicht daran erinnern. Daher würde ich einen ersten Bildschirm hinzufügen, um das Kennwort zu ändern, wenn sich Ihre Benutzer zum ersten Mal anmelden.
Alexus
1
Oder eher ein Vorschlag für sie, sich zu ändern, damit sie es jederzeit tun können, aber ich selbst, als Benutzer würde ich mein Passwort nicht sofort ändern, könnte das nächste Mal sein, wenn ich mich anmelde.
Alexus
1
Ich glaube nicht, dass dies die Anmeldung behindert, aber als Benutzer sehe ich dies als Hindernis an, da ich nach der Anmeldung mein Passwort in ein Passwort ändern muss, das ich ausgewählt habe. Es sei denn, Sie bieten diese Option nicht an, und das wäre noch frustrierender.
Last1Here
5
Das Senden des Passworts an eine E-Mail wird als Sicherheitsproblem angesehen . Mein persönlicher Ansatz dabei ist, dass der Benutzer bei der Anmeldung überhaupt kein Passwort angibt (oder erhält). Er meldet sich bei der Anwendung an und erhält eine Bestätigungs-E-Mail. Auf der Bestätigungsseite bitten Sie ihn, ein Passwort für sein Konto festzulegen.
Tasos K.
2
Nein, ich denke, der beste Vorschlag stammt von @TasosK. - Sie melden einfach eine Person an und senden eine Bestätigungs-E-Mail. In dieser E-Mail befindet sich ein Link ähnlich dem Link zum Zurücksetzen des Passworts, der beides bewirkt: Bestätigt die E-Mail und fordert den Benutzer auf, beim Klicken auf diesen Link ein Passwort einzugeben.
Alexus

Antworten:

13

Das Problem ist, dass ein Passwort so selten wie möglich im Klartext erscheinen sollte.

In Ihrem Fall wird das Passwort in einer E-Mail im Klartext angezeigt. Dies hat mehrere Nachteile:

  • Wenn das Konto der Person kompromittiert wird, erhält der Hacker auch Zugriff auf Ihre Website.

  • Wenn sich in der Mitte ein böswilliger Mann befindet, kann er problemlos auf das Passwort zugreifen.

Außerdem:

  • Automatisch generierte Passwörter sind schwer zu merken. Anstatt Ihren Benutzern das Leben zu erleichtern, erschweren Sie es und ermutigen Sie gleichzeitig, das Passwort auf ein Post-it zu schreiben, was möglicherweise nicht das Beste ist in Bezug auf die Sicherheit.

Aus diesem Grund machen die meisten Websites, die solche Passwörter bei der Registrierung generieren, sie zu Einmalkennwörtern. Mit anderen Worten, der Benutzer erhält eine E-Mail mit einem zufälligen Passwort. Sobald er sich damit anmeldet, fragt die Website sofort nach dem vom Benutzer gewählten neuen Passwort, wodurch die drei oben genannten Nachteile vermieden werden.

Arseni Mourzenko
quelle
2
"Wenn das Konto der Person kompromittiert wird, erhält der Hacker auch Zugriff auf Ihre Website." Das wird immer passieren, zumindest wenn Sie ein Passwort zurückgesetzt haben - was Sie höchstwahrscheinlich haben werden.
Kat0r
1
@ kat0r: ja im allgemeinen. Es gibt noch einige Randfälle, in denen dies nicht der Fall ist. Ein Fall ist, wenn ein Hacker das E-Mail-Konto einfach so konfigurieren kann, dass alle E-Mails an ihn weitergeleitet werden: Er kann nicht nach einem Zurücksetzen des Kennworts fragen, da dies für den Eigentümer des E-Mail-Kontos möglicherweise verdächtig erscheint.
Arseni Mourzenko
Denken Sie auch daran, dass das automatisch generierte Super-Duper-Passwort möglicherweise nicht sicherer ist als ein gutes benutzergeneriertes Passwort: xkcd.com/936
CD001
@ CD001: Aus diesem Grund wurde die Verwendung zufällig generierter Passphrasen anstelle zufällig generierter Passwörter vorgeschlagen , mit dem Vorteil, dass sie sehr, sehr benutzerfreundlich sind.
Arseni Mourzenko
4

Ehrlich gesagt, es hat nicht viel Wert.

1) Die meisten Menschen verwenden ihr eigenes Passwort, an das sie sich erinnern. Wenn dies der Fall ist, dauert es länger, bis sie ihr Passwort ändern, als wenn sie bei der Registrierung ein zusätzliches Feld ausfüllen.

Der Vorteil Ihres Systems kann sein, dass der Benutzer bis dahin registriert ist, damit Sie ihn nicht verlieren.

2) Wenn sie einen Passwort-Manager verwenden, ist es einfacher, den Passwort-Manager dazu zu bringen , ihren bevorzugten Benutzernamen und ein zufälliges Passwort mit 1 Klick einzugeben, als die Datei anschließend zu bearbeiten und das generierte Passwort einzufügen (wahrscheinlich 3 oder 4 Klicks länger ).

3) Das derzeitige System ist so weit verbreitet, dass einige Leute durch das Fehlen eines Passwortfeldes verwirrt werden (wie ich es bei Google getan habe, aber es ist Google und ich vertraue ihm).

Claudiu Creanga
quelle