今天,在与一位同事讨论我们正在研究的网站的“创建帐户”页面时出现了这个问题。
我同事的意见是,我们应该使注册尽可能快速和无缝,因此,我们只需要向用户询问他的电子邮件,然后剩下的就好了。
我同意这个意图,但是对此有一些担忧:
- 由于我们生成了密码,因此我们有责任确保密码足够安全
- 以我的经验,当遇到难以理解的密码时,用户可能会将其写下来
- 没有写下密码的用户很可能会忘记它。这意味着他们必须定期要求输入新密码,这对任何人都不好玩
但是,考虑到用户创建的密码的一般质量,以及太多的人倾向于对所有事物使用相同的密码(“发声者”)的事实,我可以看到为他们生成强密码的意义。
我仍然为此感到痛苦。我们正在商人网站上工作,用户可以选择保存其信用卡详细信息,因此使用最安全的方法显然非常重要。
3
我想有人必须参考:xkcd:密码强度
—
candied_orange
@CandledOrange强制性XKCD参考
—
Dryr,2017年
作为消费者,当我使用您的网站并为您生成密码时,就是我删除帐户的那一刻。
—
埃里克·金
也许这个问题更适合于User Experience SE。已经有一个类似的问题,并且给出了有趣的答案:您是否可以放弃注册表单中的密码字段。
—
此处插入用户名,2017年
电子邮件不是安全的通信渠道。不要通过电子邮件发送密码。只在短时间内(例如24小时)有效的令牌可能没问题。您无法避免使用密码,但可以鼓励使用密码管理器:专用软件,“记住密码”浏览器功能和物理笔记本都是合法策略。提供密码不会鼓励良好的安全习惯。另外,在不存储密码的地方实现登录选项,例如“使用Google登录”。使用外部付款处理者,这样我就不必用我的付款详细信息来信任您的网站。
—
阿蒙(Amon)