Gerar senhas automaticamente durante o registro é uma boa idéia?

9

Estou desenvolvendo um sistema de registro para um projeto em que estou trabalhando.

Como os usuários tendem a não se inscrever se o processo for muito longo, pensei em exigir (pelo menos inicialmente) apenas o email deles, onde enviaria a senha gerada automaticamente (e isso também me permitiria verificar o endereço de email) ) Isso também os impediria de escolher uma senha fraca para concluir o registro rapidamente.

Não encontrei nenhuma desvantagem até agora, mas receio que haja algumas, pois nunca vi um site usando esse sistema.

Essa é uma boa ideia?

PS: é claro que também estou implementando a inscrição via Facebook e outros serviços similares para permitir que as pessoas se inscrevam rapidamente sem a necessidade de uma senha, mas muitos podem querer escolher a inscrição clássica por questões de privacidade ou porque não o fazem use qualquer um desses serviços.

Teimoso
fonte
3
Parece brilhante, a única coisa com que me preocuparia é que as senhas sejam muito difíceis e as pessoas não se lembrem. Então, eu adicionaria uma tela inicial para alterar a senha no login dos usuários.
Alexus
11
Ou melhor, uma sugestão para que eles mudem, para que seja proeminente quando quiserem, mas eu mesmo, como usuário, não alteraria minha senha imediatamente, talvez seja na próxima vez que fizer login.
Alexus
11
Eu não acho que isso atrapalhe a inscrição, mas como usuário eu vejo isso como um obstáculo, porque uma vez que eu me inscrevo, terei que mudar minha senha para uma que eu escolha. A menos que você não ofereça essa opção, e isso seria ainda mais frustrante.
Last1Here
5
Ao enviar a senha para um email, é considerado um problema de segurança . Minha abordagem pessoal é que, ao se inscrever, o usuário não fornece (ou obtém) uma senha. Ele faz login no aplicativo e recebe um email de verificação. Na página de verificação, você pede que ele defina uma senha para sua conta.
Tasos K.
2
Acho que a melhor sugestão é do @TasosK. - você apenas registra uma pessoa e envia um email de confirmação. Nesse e-mail, existe um link semelhante ao link de redefinição de senha, que faz as duas coisas: confirma o e-mail e solicita que o usuário digite a senha ao clicar nesse link.
Alexs #

Respostas:

13

O problema é que uma senha deve aparecer em texto sem formatação o mais raramente possível.

No seu caso, a senha aparece em texto sem formatação em um email. Isso tem várias desvantagens:

  • Se a conta da pessoa estiver comprometida, o hacker também terá acesso ao seu site.

  • Se houver um homem malicioso no meio, ele poderá acessar a senha com facilidade.

Além disso:

  • As senhas geradas automaticamente são difíceis de lembrar; portanto, em vez de facilitar a vida dos usuários, você as torna mais difíceis e, ao mesmo tempo, incentivam a escrever a senha em um Post-it, o que pode não ser a melhor coisa. em termos de segurança.

É por isso que a maioria dos sites que geram essas senhas durante o registro os torna senhas de uso único. Em outras palavras, o usuário recebe um e-mail com uma senha aleatória, mas, uma vez que o usa para efetuar login, o site solicita imediatamente a nova senha escolhida pelo usuário, impedindo as três desvantagens mencionadas acima.

Arseni Mourzenko
fonte
2
"Se a conta da pessoa for comprometida, o hacker também terá acesso ao seu site". Isso sempre acontece, pelo menos se você redefinir a senha - o que você provavelmente terá.
Kat0r
11
@ Kat0r: sim, em geral. Ainda existem alguns casos marginais em que não é o caso. Um caso é quando um hacker pode simplesmente configurar a conta de email para encaminhar todos os emails para ele: ele não pode solicitar a redefinição de senha, pois isso pode parecer suspeito para o proprietário da conta de email.
Arseni Mourzenko
Também tenha em mente que o super-duper senha gerada automaticamente não pode realmente ser mais seguro do que uma boa senha gerado pelo usuário: xkcd.com/936
CD001
@ CD001: é por isso que usando frases secretas geradas aleatoriamente em vez de senhas geradas aleatoriamente foi sugerido , com a vantagem de ser muito, muito fácil de usar.
Arseni Mourzenko1
4

Honestamente, não há muito valor nisso.

1) A maioria das pessoas usa sua própria senha que lembra. Se o fizerem, fazê-los alterar sua senha levará mais tempo do que preencher um campo extra durante o registro.

O benefício do seu sistema pode ser que, até então, o usuário esteja registrado para que você não o perca.

2) Se eles usam um gerenciador de senhas, é mais fácil fazer com que o gerenciador de senhas preencha seu nome de usuário preferido e uma senha aleatória com 1 clique do que ter que editar o arquivo posteriormente e inserir a senha gerada (provavelmente leva 3 ou 4 cliques extras) )

3) O sistema atual é tão amplamente usado que algumas pessoas ficam confusas com a falta de um campo de senha (como eu fiz com o google, mas é o google e confio nele).

Claudiu Creanga
fonte