क्या पंजीकरण के दौरान पासवर्ड एक अच्छा विचार है?

9

मैं एक परियोजना के लिए एक पंजीकरण प्रणाली विकसित कर रहा हूं, जिस पर मैं काम कर रहा हूं।

चूंकि उपयोगकर्ता प्रक्रिया में बहुत लंबा होने पर साइन अप नहीं करते हैं, मैंने सोचा है कि उन्हें कम से कम (शुरुआत में) सिर्फ उनके ईमेल की आवश्यकता होगी, जहां मैं उन्हें अपने आप उत्पन्न पासवर्ड भेज दूंगा (और इससे मुझे उनके ईमेल पते को सत्यापित करने की भी अनुमति मिल जाएगी। )। इससे उन्हें पंजीकरण को तेजी से पूरा करने के लिए एक कमजोर पासवर्ड चुनने से भी रोका जा सकेगा।

मुझे अब तक कोई डाउनसाइड नहीं मिला है, लेकिन मुझे डर है कि कुछ हैं क्योंकि मैंने इस सिस्टम का उपयोग करने वाली साइट कभी नहीं देखी है।

क्या यह एक बेहतर तरकीब है?

पुनश्च: बेशक मैं भी फेसबुक और अन्य समान सेवाओं के माध्यम से साइन अप लागू कर रहा हूं ताकि लोगों को पासवर्ड की आवश्यकता के बिना तेजी से साइन अप करने की अनुमति मिल सके, लेकिन कई लोग गोपनीयता चिंताओं के लिए क्लासिक साइन अप का चयन करना चाहते हैं या क्योंकि वे नहीं करते हैं उन सेवाओं में से किसी का उपयोग करें।

php  javascript  html5  user-interface  user-experience 
ज़िद्दी
स्रोत
3
यह शानदार लगता है, केवल एक चीज जिसकी मुझे चिंता होगी वह है पासवर्ड बहुत कठिन होना और लोगों को यह याद न होना। इसलिए मैं आपके उपयोगकर्ताओं द्वारा पहली बार लॉगिन करने पर पासवर्ड बदलने के लिए एक प्रारंभिक स्क्रीन जोड़ूंगा।
एलेक्सस
1
या, उन्हें बदलने के लिए एक सुझाव के रूप में इसलिए यह प्रमुख है कि वे किसी भी समय वे चाहते हैं, लेकिन खुद को, एक उपयोगकर्ता के रूप में मैं अभी अपना पासवर्ड नहीं बदलूंगा, अगली बार जब मैं लॉगिन कर सकता हूं।
अलेक्सस
1
मुझे नहीं लगता कि यह साइन अप करने में बाधा होगी, लेकिन एक उपयोगकर्ता के रूप में मैं इसे एक बाधा के रूप में देखता हूं क्योंकि एक बार साइन अप करने के बाद मुझे अपना पासवर्ड एक आई चॉइस में बदलना होगा। जब तक आप उस विकल्प की पेशकश नहीं करते हैं, और यह और भी निराशाजनक होगा।
अंतिम 1
5
पासवर्ड को ईमेल पर भेजकर, सुरक्षा समस्या माना जाता है । इस पर मेरा व्यक्तिगत दृष्टिकोण यह है कि साइनअप करने पर उपयोगकर्ता बिल्कुल भी पासवर्ड प्रदान नहीं करता (या प्राप्त करता है)। वह एप्लिकेशन में लॉग इन करता है और उसे एक सत्यापन ईमेल प्राप्त होता है। सत्यापन पृष्ठ पर आप उससे अपने खाते का पासवर्ड सेट करने के लिए कहते हैं।
त्सोस के।
2
नहीं, मुझे लगता है कि सबसे अच्छा सुझाव @TasosK से है। - आप बस एक व्यक्ति एन लॉग करें और पुष्टिकरण ईमेल भेजें। उस ईमेल में, पासवर्ड रीसेट लिंक के समान एक लिंक ईआईएस जो दोनों करता है: ईमेल की पुष्टि करता है और उस लिंक पर क्लिक करने पर उपयोगकर्ता को पासवर्ड दर्ज करने का संकेत देता है।
एलेक्सस

जवाबों:

13

समस्या यह है कि एक पासवर्ड सादे पाठ में दिखाई देना चाहिए जितना संभव हो।

आपके मामले में, पासवर्ड ई-मेल में सादे पाठ में दिखाई देता है। इसकी कई कमियां हैं:

  • यदि व्यक्ति के खाते से छेड़छाड़ की जाती है, तो हैकर को आपकी वेबसाइट तक पहुंच भी मिलती है।

  • यदि बीच में कोई दुर्भावनापूर्ण आदमी है, तो वह आसानी से पासवर्ड का उपयोग कर सकता है।

इसके अलावा:

  • ऑटो-जनरेट किए गए पासवर्ड को याद रखना मुश्किल है, इसलिए अपने उपयोगकर्ताओं के लिए जीवन को आसान बनाने के बजाय, आप इसे और अधिक कठिन बना रहे हैं और साथ ही साथ पासवर्ड को पोस्ट-इट पर लिखने के लिए प्रोत्साहित करें, जो सबसे अच्छी बात नहीं हो सकती है सुरक्षा के लिहाज से।

यही कारण है कि पंजीकरण के दौरान ऐसे पासवर्ड उत्पन्न करने वाली अधिकांश वेबसाइटें उन्हें एक-उपयोग के पासवर्ड बनाती हैं। दूसरे शब्दों में, उपयोगकर्ता को एक यादृच्छिक पासवर्ड के साथ एक ई-मेल प्राप्त होता है, लेकिन एक बार जब वह इसे लॉग इन करने के लिए उपयोग करता है, तो वेबसाइट तुरंत उपयोगकर्ता द्वारा चुने गए नए पासवर्ड के लिए पूछती है, जो ऊपर उल्लिखित तीन कमियों को रोकती है।

आर्सेनी मूरज़ेंको
स्रोत
2
"यदि व्यक्ति के खाते से छेड़छाड़ की जाती है, तो हैकर को आपकी वेबसाइट तक पहुंच भी मिलती है।" यह हमेशा होगा, कम से कम यदि आपके पास एक पासवर्ड रीसेट है - जो आपके पास सबसे अधिक संभावना है।
kat0r
1
@ kat0r: हाँ, सामान्य तौर पर। अभी भी कुछ सीमांत मामले हैं जहां यह मामला नहीं है। एक मामला यह है कि जब कोई हैकर केवल सभी ई-मेल को अग्रेषित करने के लिए मेल खाते को कॉन्फ़िगर कर सकता है: वह पासवर्ड रीसेट के लिए नहीं कह सकता है, क्योंकि यह ई-मेल खाते के मालिक के लिए संदिग्ध लग सकता है।
आर्सेनी मूरज़ेंको
यह भी ध्यान में रखें कि सुपर-डुपर ऑटो-जनरेट पासवर्ड वास्तव में किसी अच्छे उपयोगकर्ता-जनित पासवर्ड की तुलना में अधिक सुरक्षित नहीं हो सकता है: xkcd.com/936
CD001
@ CD001: इसीलिए बेतरतीब ढंग से उत्पन्न पासवर्ड के बजाय बेतरतीब ढंग से उत्पन्न पासवर्डों का उपयोग करने का सुझाव दिया गया था , जिसके लाभ के साथ, बहुत अधिक उपयोगकर्ता के अनुकूल है।
बजे आर्सेनी मूरज़ेंको
4

ईमानदारी से कहूं तो इसका बहुत मूल्य नहीं है।

1) ज्यादातर लोग अपने स्वयं के पासवर्ड का उपयोग करते हैं जो उन्हें याद है। यदि वे करते हैं, तो उन्हें पासवर्ड बदलने से पंजीकरण के दौरान एक अतिरिक्त क्षेत्र भरने में अधिक समय लगेगा।

आपके सिस्टम का लाभ यह हो सकता है कि तब तक उपयोगकर्ता पंजीकृत है, इसलिए आप इसे नहीं खोएंगे।

2) यदि वे एक पासवर्ड मैनेजर का उपयोग करते हैं, तो पासवर्ड मैनेजर को उनके पसंदीदा उपयोगकर्ता नाम और एक यादृच्छिक पासवर्ड को भरना आसान होता है और 1 क्लिक के साथ फाइल को संपादित करने के बाद और अपना जनरेट किया हुआ पासवर्ड डालने की संभावना है (3 या 4 क्लिक अतिरिक्त लेने की संभावना है) )।

3) वर्तमान प्रणाली इतनी व्यापक रूप से उपयोग की जाती है कि कुछ लोग पासवर्ड फ़ील्ड की कमी से भ्रमित हो जाएंगे (जैसे मैंने Google के साथ किया था, लेकिन यह Google है और मुझे इस पर भरोसा है)।

क्लाउडिया क्रेन्गा
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.