खाते के निर्माण के दौरान, पासवर्ड को स्वचालित रूप से उत्पन्न करना और उपयोगकर्ता को भेजना बेहतर है, या उपयोगकर्ता को अपना पासवर्ड बनाने देना है?

11

जिस वेबसाइट पर हम काम कर रहे हैं, उसके लिए 'एक खाता बनाएँ' पृष्ठ के बारे में एक सहकर्मी के साथ चर्चा करते हुए यह सवाल आज सामने आया।

मेरे सहकर्मी का मत है कि हमें पंजीकरण को यथासंभव शीघ्र और निर्बाध बनाना चाहिए, इसलिए हमें केवल उपयोगकर्ता से उसके ईमेल के लिए पूछना चाहिए और बाकी का ध्यान रखना चाहिए।

मैं इरादे से सहमत हूं, लेकिन मुझे इसके बारे में कुछ चिंताएं हैं:

  • चूंकि हम पासवर्ड जेनरेट करते हैं, इसलिए हमारी जिम्मेदारी है कि हम यह सुनिश्चित करें कि पासवर्ड पर्याप्त मजबूत हो
  • मेरे अनुभव में, जब एक अनजाने पासवर्ड के साथ सामना किया जाता है, तो उपयोगकर्ता इसे एक पोस्ट पर लिखने की संभावना रखते हैं
  • जो उपयोगकर्ता पासवर्ड को नहीं लिखते हैं, वे इसे भूल जाने की बहुत संभावना है। जिसका अर्थ है कि उन्हें नियमित रूप से नया पासवर्ड माँगना होगा, और यह किसी के लिए भी मज़ेदार नहीं है

हालांकि, उपयोगकर्ताओं द्वारा बनाए गए पासवर्ड की सामान्य गुणवत्ता और इस तथ्य को देखते हुए कि बहुत से लोग हर चीज ('शूडर') के लिए एक ही पासवर्ड का उपयोग करते हैं, मैं देख सकता हूं कि उनके लिए एक मजबूत पासवर्ड बनाने के लिए कैसे समझ में आएगा।

मैं अभी भी इसके बारे में फटा हुआ महसूस करता हूं। हम एक मर्चेंट वेबसाइट पर काम कर रहे हैं, जहां उपयोगकर्ता के पास अपने क्रेडिट कार्ड के विवरणों को सहेजने का विकल्प होता है, इसलिए यह स्पष्ट रूप से बहुत महत्वपूर्ण है कि हम अपने सुरक्षित दृष्टिकोण का उपयोग करें।

security  passwords 
Dryr
स्रोत
3
मुझे लगता है कि किसी को इसका संदर्भ देना होगा: xkcd: पासवर्ड स्ट्रेंथ
कैंडिड_ऑरेंज
@CandledOrange Obligatory XKCD संदर्भ
ड्राईर
11
एक उपभोक्ता के रूप में, जिस क्षण मैं आपकी साइट का उपयोग करता हूं और आप मेरे लिए एक पासवर्ड उत्पन्न करते हैं, वह क्षण होता है जब मैं अपना खाता हटाता हूं।
एरिक किंग
4
शायद यह सवाल उपयोगकर्ता अनुभव एसई के लिए अधिक उपयुक्त है । पहले से ही दिलचस्प जवाब के साथ एक समान प्रश्न है: क्या आपको साइन-अप फॉर्म में पासवर्ड फ़ील्ड से छुटकारा मिलेगा
19
ईमेल एक सुरक्षित संचार चैनल नहीं हैं। ईमेल के माध्यम से पासवर्ड न भेजें। टोकन जो केवल थोड़े समय के लिए मान्य हैं (जैसे 24 घंटे) ठीक हो सकता है। आप पासवर्ड से बच नहीं सकते हैं, लेकिन आप पासवर्ड प्रबंधकों के उपयोग को प्रोत्साहित कर सकते हैं: समर्पित सॉफ्टवेयर, "मेरे पासवर्ड को याद रखें" ब्राउज़र सुविधाएँ, और भौतिक नोटबुक सभी कानूनी रणनीतियाँ हैं। पासवर्ड प्रदान करना अच्छी सुरक्षा आदतों को प्रोत्साहित नहीं करता है। इसके अतिरिक्त "Google के साथ साइन इन करें" जैसे लॉगिन विकल्प लागू करें जहां आप पासवर्ड स्टोर नहीं करते हैं। बाहरी भुगतान प्रोसेसर का उपयोग करें ताकि मुझे अपने भुगतान विवरण के साथ आपकी साइट पर भरोसा न करना पड़े।
amon

जवाबों:

11

ईमेल अप्रोच का एडवांटेज यह है कि आप इस तरह सुनिश्चित करते हैं कि उपयोगकर्ता ने एक वैध ईमेल खाता प्रदान किया जिसे वह नियंत्रित करता है।

हालांकि, ईमेल चैनल कुख्यात असुरक्षित है। इसका मतलब है कि पासवर्ड को इंटरसेप्ट किया जा सकता है। इसलिए इस दृष्टिकोण पर केवल तभी विचार किया जाना चाहिए जब उत्पन्न पासवर्ड का उपयोग केवल एक बार, पहले लॉगिन पर किया जाए, और यदि यह सुनिश्चित हो कि उपयोगकर्ता को इसे बदलना होगा।

प्रत्यक्ष दृष्टिकोण अधिक सुरक्षित है, इस अर्थ में कि आपकी वेबसाइट पर एक tls / ssl कनेक्शन बिना देखे जाने के लिए अवरोधन करना अधिक कठिन है।

क्रिस्टोफ़
स्रोत
2
आमतौर पर, दोनों दृष्टिकोणों का एक साथ उपयोग किया जाता है: ईमेल और पासवर्ड दर्ज करें, फिर एक ईमेल प्राप्त करें जिसमें सक्रियण लिंक हो।
मौविसील
@mouviciel हाँ, एन पुतला। पासवर्ड और लिंक के साथ यह दो-चरण दृष्टिकोण का उपयोग किया जाने वाला सबसे आम तरीका है, और निश्चित रूप से बिना कारण के नहीं है :-) यह अधिक सुरक्षित है, क्योंकि सामान्य रूप से सक्रियण लिंक केवल सक्रियण के लिए उपयोग किया जाता है न कि लॉगिन के लिए। ओपी के लिए, यह सक्रियण लिंक भेजने और सक्रियण को ट्रैक करने के लिए तर्क के विकास की आवश्यकता होगी।
क्रिस्टोफ
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.