계정을 만드는 동안 암호를 자동으로 생성하여 사용자에게 보내거나 사용자가 자신의 암호를 만들도록하는 것이 더 낫습니까?


11

이 질문은 오늘 우리가 작업하는 웹 사이트의 '계정 만들기'페이지에 대해 동료와 논의하면서 나왔습니다.

동료의 의견에 따르면 등록을 최대한 빠르고 완벽하게해야하므로 사용자에게 전자 메일을 요청하고 나머지는 처리해야합니다.

나는 그 의도에 동의하지만 그것에 대해 몇 가지 우려가 있습니다.

  • 우리는 암호를 생성하기 때문에, 우리 반드시 암호가 충분히 강한이 할 책임을
  • 내 경험상 이해할 수없는 암호에 직면하면 사용자는 게시물에 암호를 적을 가능성이 높습니다
  • 암호를 적어 두지 않은 사용자는 암호를 잊어 버릴 가능성이 높습니다. 즉, 정기적으로 새 비밀번호를 요청해야하며 이는 누구에게나 재미 있지 않습니다.

그러나 사용자가 만든 일반적인 암호 품질과 너무 많은 사람들이 모든 것에 동일한 암호를 사용하는 경향이 있다는 사실 ( '셔터')을 고려할 때 강력한 암호를 생성하는 것이 어떻게 의미가 있는지 알 수 있습니다.

나는 아직도 그것에 대해 찢어진 느낌. 우리는 사용자가 신용 카드 정보를 저장할 수있는 옵션이있는 판매자 웹 사이트에서 작업하고 있으므로 가장 안전한 방법을 사용하는 것이 매우 중요합니다.


3
누군가가 이것을 참조해야한다고 가정합니다 : xkcd : 암호 강도
candied_orange

@CandledOrange 의무적 XKCD 참조
Dryr

11
소비자로서 귀하의 사이트 를 사용하고 비밀번호를 생성하는 순간은 계정을 삭제하는 순간입니다.
Eric King

4
아마도이 질문은 User Experience SE에 더 적합 할 것 입니다. 뿐만 아니라 흥미로운 답변 비슷한 질문이 이미 있습니다 : 겠습니까 당신은 가입 양식에 암호 필드 제거하기 .
insertusername 여기

19
이메일은 안전한 통신 채널이 아닙니다. 이메일을 통해 비밀번호를 보내지 마십시오. 짧은 시간 동안 만 유효한 토큰 (예 : 24 시간)이 정상일 수 있습니다. 암호는 피할 수 없지만 암호 관리자 사용을 권장 할 수 있습니다. 전용 소프트웨어, "암호 기억"브라우저 기능 및 실제 노트북은 모두 합법적 인 전략입니다. 암호를 제공한다고해서 좋은 보안 습관이 생기는 것은 아닙니다. 또한 비밀번호를 저장하지 않은 'Google 로그인'과 같은 로그인 옵션을 구현하십시오. 결제 세부 정보로 사이트를 신뢰할 필요가 없도록 외부 결제 처리기를 사용하십시오.
amon

답변:


11

이메일 접근 방식의 발전은 이러한 방식으로 사용자가 자신이 제어하는 ​​유효한 이메일 계정을 제공했는지 확인하는 것입니다.

그러나 이메일 채널은 안전하지 않은 것으로 악명이 높습니다. 이것은 암호를 가로 챌 수 있음을 의미합니다. 따라서 처음 로그인 할 때 생성 된 비밀번호를 한 번만 사용하고 사용자가 비밀번호를 변경해야하는 경우에만이 방법을 고려해야합니다.

직접적인 접근 방식은 웹 사이트에 대한 tls / ssl 연결이 눈에 띄지 않고 가로 채기가 훨씬 어렵다는 점에서 더 안전합니다.


2
일반적으로 두 가지 접근 방식이 함께 사용됩니다. 이메일과 비밀번호를 입력 한 다음 활성화 링크가 포함 된 이메일을받습니다.
mouviciel

@mouviciel 예, effet. 비밀번호와 링크를 사용하는이 2 단계 접근 방식은 가장 일반적인 방법으로 사용됩니다. 이유 없이는 그렇지 않습니다. OP의 경우 활성화 링크를 전송하고 계정 활성화를 추적하는 로직을 개발해야합니다.
Christophe
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.