이 질문은 오늘 우리가 작업하는 웹 사이트의 '계정 만들기'페이지에 대해 동료와 논의하면서 나왔습니다.
동료의 의견에 따르면 등록을 최대한 빠르고 완벽하게해야하므로 사용자에게 전자 메일을 요청하고 나머지는 처리해야합니다.
나는 그 의도에 동의하지만 그것에 대해 몇 가지 우려가 있습니다.
- 우리는 암호를 생성하기 때문에, 우리 가 반드시 암호가 충분히 강한이 할 책임을
- 내 경험상 이해할 수없는 암호에 직면하면 사용자는 게시물에 암호를 적을 가능성이 높습니다
- 암호를 적어 두지 않은 사용자는 암호를 잊어 버릴 가능성이 높습니다. 즉, 정기적으로 새 비밀번호를 요청해야하며 이는 누구에게나 재미 있지 않습니다.
그러나 사용자가 만든 일반적인 암호 품질과 너무 많은 사람들이 모든 것에 동일한 암호를 사용하는 경향이 있다는 사실 ( '셔터')을 고려할 때 강력한 암호를 생성하는 것이 어떻게 의미가 있는지 알 수 있습니다.
나는 아직도 그것에 대해 찢어진 느낌. 우리는 사용자가 신용 카드 정보를 저장할 수있는 옵션이있는 판매자 웹 사이트에서 작업하고 있으므로 가장 안전한 방법을 사용하는 것이 매우 중요합니다.
3
누군가가 이것을 참조해야한다고 가정합니다 : xkcd : 암호 강도
—
candied_orange
@CandledOrange 의무적 XKCD 참조
—
Dryr
소비자로서 귀하의 사이트 를 사용하고 비밀번호를 생성하는 순간은 계정을 삭제하는 순간입니다.
—
Eric King
아마도이 질문은 User Experience SE에 더 적합 할 것 입니다. 뿐만 아니라 흥미로운 답변 비슷한 질문이 이미 있습니다 : 겠습니까 당신은 가입 양식에 암호 필드 제거하기 .
—
insertusername 여기
이메일은 안전한 통신 채널이 아닙니다. 이메일을 통해 비밀번호를 보내지 마십시오. 짧은 시간 동안 만 유효한 토큰 (예 : 24 시간)이 정상일 수 있습니다. 암호는 피할 수 없지만 암호 관리자 사용을 권장 할 수 있습니다. 전용 소프트웨어, "암호 기억"브라우저 기능 및 실제 노트북은 모두 합법적 인 전략입니다. 암호를 제공한다고해서 좋은 보안 습관이 생기는 것은 아닙니다. 또한 비밀번호를 저장하지 않은 'Google 로그인'과 같은 로그인 옵션을 구현하십시오. 결제 세부 정보로 사이트를 신뢰할 필요가 없도록 외부 결제 처리기를 사용하십시오.
—
amon