Essa pergunta surgiu hoje, ao discutir com um colega sobre a página "criar conta" para o site em que estamos trabalhando.
A opinião do meu colega é que devemos fazer o registro o mais rápido e sem problemas possível, portanto, devemos apenas pedir seu e-mail ao usuário e cuidar do resto.
Concordo com a intenção, mas tenho algumas preocupações:
- Desde que gerar a senha, nós temos a responsabilidade de garantir que a senha é forte o suficiente
- Na minha experiência, quando confrontados com uma senha ininteligível, é provável que os usuários anotem em uma postagem
- Os usuários que não anotam a senha provavelmente esquecem. O que significa que eles terão que pedir uma nova senha regularmente, e isso não é divertido para ninguém
No entanto, considerando a qualidade geral das senhas criadas pelos usuários e o fato de muitas pessoas tenderem a usar a mesma senha para tudo ('estremecimentos'), posso ver como faria sentido gerar uma senha forte para eles.
Eu ainda me sinto dividido por isso. Estamos trabalhando em um site comercial, em que o usuário tem a opção de salvar os detalhes do cartão de crédito, portanto é obviamente muito importante que usemos a abordagem mais segura.
Respostas:
A vantagem da abordagem de email é que você assegure dessa forma que o usuário forneça uma conta de email válida que ele controla.
No entanto, o canal de email é notoriamente inseguro. Isso significa que a senha pode ser interceptada. Portanto, essa abordagem deve ser considerada apenas se a senha gerada for usada apenas uma vez, no primeiro login e se for garantido que o usuário deve alterá-la.
A abordagem direta é mais segura, no sentido de que uma conexão tls / ssl ao seu site é muito mais difícil de interceptar sem ser notada.
fonte