등록하는 동안 자동으로 비밀번호를 생성하는 것이 좋은 생각입니까?


9

작업중인 프로젝트의 등록 시스템을 개발 중입니다.

프로세스가 너무 길면 사용자가 가입하지 않는 경향이 있기 때문에 (최초에) 최소한 자동으로 생성 된 비밀번호를 보내거나 이메일 주소를 확인할 수있는 이메일 만 있으면된다고 생각했습니다. ). 또한 등록을 빨리 완료하기 위해 약한 비밀번호를 선택하지 못하게됩니다.

지금까지 단점을 발견하지 못했지만이 시스템을 사용하는 사이트를 본 적이없는 것이 있습니다.

좋은 생각입니까?

추신 : 물론 나는 사람들이 비밀번호없이 빠른 가입을 할 수 있도록 Facebook 및 기타 유사한 서비스를 통해 가입을 구현하고 있지만 많은 사람들은 개인 정보 보호 문제에 대한 고전적인 가입을 원할 수도 있습니다. 해당 서비스를 사용하십시오.


3
화려하게 들리지만 걱정할 것은 암호가 너무 어려워 사람들이 기억하지 않는 것입니다. 따라서 사용자가 처음 로그인 할 때 초기 화면을 추가하여 비밀번호를 변경합니다.
Alexus 2016 년

1
또는 변경을 제안하기 때문에 언제든지 원할 때마다 눈에 잘 띄지 만 사용자는 즉시 암호를 변경하지 않을 것이므로 다음에 로그인 할 때 나타날 수 있습니다.
Alexus 2016 년

1
나는 그것이 가입을 방해하지 않을 것이라고 생각하지만, 일단 가입하면 내가 선택한 암호로 변경해야하기 때문에 사용자로서 그것을 방해로 간주합니다. 해당 옵션을 제공하지 않으면 더욱 실망 스러울 수 있습니다.
Last1 여기

5
비밀번호를 이메일로 보내면 보안 문제 로 간주됩니다 . 이것에 대한 나의 개인적인 접근은 가입시 사용자가 전혀 암호를 제공하지 않거나 얻는 것입니다. 그는 애플리케이션에 로그인하고 확인 이메일을받습니다. 확인 페이지에서 계정 비밀번호를 설정하도록 요청합니다.
Tasos K.

2
아냐, 나는 가장 좋은 제안은 @TasosK에서 온 것이라고 생각한다. -당신은 사람 n을 기록하고 확인 이메일을 보냅니다. 해당 이메일에는 비밀번호 재설정 링크와 유사한 링크가 있습니다. 이메일을 확인하고 해당 링크를 클릭하면 비밀번호를 입력하라는 메시지가 표시됩니다.
Alexus

답변:


13

문제는 암호가 가능한 한 평범한 텍스트로 나타나야한다는 것입니다.

귀하의 경우 암호는 전자 메일에 일반 텍스트로 나타납니다. 여기에는 몇 가지 단점이 있습니다.

  • 해당 사람의 계정이 손상된 경우 해커는 웹 사이트에도 액세스 할 수 있습니다.

  • 중간에 악의적 인 사람이 있으면 쉽게 암호에 액세스 할 수 있습니다.

게다가:

  • 자동 생성 된 암호는 기억하기 어렵 기 때문에 사용자의 삶을 편하게 만드는 대신 암호를 더 어렵게 만드는 동시에 Post-it에 암호를 적어 두는 것이 좋습니다. 보안 측면에서.

등록하는 동안 이러한 암호를 생성하는 대부분의 웹 사이트가 일회용 암호가되는 이유가 여기에 있습니다. 다시 말해, 사용자는 임의의 비밀번호로 이메일을 수신하지만, 일단 비밀번호를 사용하여 로그인하면 웹 사이트는 사용자가 선택한 새 비밀번호를 즉시 요청하여 위에서 언급 한 3 가지 단점을 방지합니다.


2
"해당 사람의 계정이 손상된 경우 해커는 웹 사이트에도 액세스 할 수 있습니다." 적어도 암호 재설정이 있으면 항상 발생합니다.
kat0r

1
@ kat0r : 일반적으로 그렇습니다. 그렇지 않은 경우가 여전히 적은 경우가 있습니다. 한 가지 경우는 해커가 모든 전자 메일을 자신에게 전달하도록 메일 계정을 구성 할 수있는 경우입니다. 전자 메일 계정 소유자에게는 의심스러운 것처럼 보이기 때문에 암호 재설정을 요청할 수 없습니다.
Arseni Mourzenko

또한 수퍼 듀퍼 자동 생성 암호는 실제 사용자 생성 암호보다 더 안전하지 않을 수도 있습니다. xkcd.com/936
CD001

@ CD001 : 그렇기 때문에 무작위로 생성 된 암호 대신 무작위로 생성 된 암호를 사용하는 것이 제안되었는데 , 이는 사용자에게 훨씬 친숙하다는 이점이 있습니다.
Arseni Mourzenko

4

솔직히, 그다지 가치가 없습니다.

1) 대부분의 사람들은 자신이 기억하는 자신의 암호를 사용합니다. 그렇다면 암호를 변경하면 등록하는 동안 추가 필드를 채우는 것보다 시간이 오래 걸립니다.

시스템의 이점은 그때까지 사용자가 등록되어 시스템을 잃지 않을 수 있다는 것입니다.

2) 암호 관리자를 사용하는 경우 나중에 파일을 편집하고 생성 된 암호를 삽입하는 것보다 암호를 클릭 하면 암호 관리자 가 원하는 사용자 이름과 임의의 암호를 한 번의 클릭으로 작성 하는 것이 더 쉽습니다. ).

3) 현재 시스템은 너무 널리 사용되어 일부 사람들은 암호 필드가 부족하여 혼란 스러울 것입니다 (Google에서했던 것처럼 구글이지만 신뢰할 수 있습니다).

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.