계정을 만드는 동안 암호를 자동으로 생성하여 사용자에게 보내거나 사용자가 자신의 암호를 만들도록하는 것이 더 낫습니까?

이 질문은 오늘 우리가 작업하는 웹 사이트의 '계정 만들기'페이지에 대해 동료와 논의하면서 나왔습니다.

동료의 의견에 따르면 등록을 최대한 빠르고 완벽하게해야하므로 사용자에게 전자 메일을 요청하고 나머지는 처리해야합니다.

나는 그 의도에 동의하지만 그것에 대해 몇 가지 우려가 있습니다.

우리는 암호를 생성하기 때문에, 우리 가 반드시 암호가 충분히 강한이 할 책임을
내 경험상 이해할 수없는 암호에 직면하면 사용자는 게시물에 암호를 적을 가능성이 높습니다
암호를 적어 두지 않은 사용자는 암호를 잊어 버릴 가능성이 높습니다. 즉, 정기적으로 새 비밀번호를 요청해야하며 이는 누구에게나 재미 있지 않습니다.

그러나 사용자가 만든 일반적인 암호 품질과 너무 많은 사람들이 모든 것에 동일한 암호를 사용하는 경향이 있다는 사실 ( '셔터')을 고려할 때 강력한 암호를 생성하는 것이 어떻게 의미가 있는지 알 수 있습니다.

나는 아직도 그것에 대해 찢어진 느낌. 우리는 사용자가 신용 카드 정보를 저장할 수있는 옵션이있는 판매자 웹 사이트에서 작업하고 있으므로 가장 안전한 방법을 사용하는 것이 매우 중요합니다.

security passwords

— 건조기
소스

누군가가 이것을 참조해야한다고 가정합니다 : xkcd : 암호 강도

— candied_orange

@CandledOrange 의무적 XKCD 참조

— Dryr

소비자로서 귀하의 사이트 를 사용하고 비밀번호를 생성하는 순간은 계정을 삭제하는 순간입니다.

— Eric King

아마도이 질문은 User Experience SE에 더 적합 할 것 입니다. 뿐만 아니라 흥미로운 답변 비슷한 질문이 이미 있습니다 : 겠습니까 당신은 가입 양식에 암호 필드 제거하기 .

— insertusername 여기

이메일은 안전한 통신 채널이 아닙니다. 이메일을 통해 비밀번호를 보내지 마십시오. 짧은 시간 동안 만 유효한 토큰 (예 : 24 시간)이 정상일 수 있습니다. 암호는 피할 수 없지만 암호 관리자 사용을 권장 할 수 있습니다. 전용 소프트웨어, "암호 기억"브라우저 기능 및 실제 노트북은 모두 합법적 인 전략입니다. 암호를 제공한다고해서 좋은 보안 습관이 생기는 것은 아닙니다. 또한 비밀번호를 저장하지 않은 'Google 로그인'과 같은 로그인 옵션을 구현하십시오. 결제 세부 정보로 사이트를 신뢰할 필요가 없도록 외부 결제 처리기를 사용하십시오.

— amon

이메일 접근 방식의 발전은 이러한 방식으로 사용자가 자신이 제어하는 유효한 이메일 계정을 제공했는지 확인하는 것입니다.

그러나 이메일 채널은 안전하지 않은 것으로 악명이 높습니다. 이것은 암호를 가로 챌 수 있음을 의미합니다. 따라서 처음 로그인 할 때 생성 된 비밀번호를 한 번만 사용하고 사용자가 비밀번호를 변경해야하는 경우에만이 방법을 고려해야합니다.

직접적인 접근 방식은 웹 사이트에 대한 tls / ssl 연결이 눈에 띄지 않고 가로 채기가 훨씬 어렵다는 점에서 더 안전합니다.

— 크리스토프
소스

일반적으로 두 가지 접근 방식이 함께 사용됩니다. 이메일과 비밀번호를 입력 한 다음 활성화 링크가 포함 된 이메일을받습니다.

— mouviciel

@mouviciel 예, effet. 비밀번호와 링크를 사용하는이 2 단계 접근 방식은 가장 일반적인 방법으로 사용됩니다. 이유 없이는 그렇지 않습니다. OP의 경우 활성화 링크를 전송하고 계정 활성화를 추적하는 로직을 개발해야합니다.

— Christophe