登録時にパスワードを自動的に生成するのは良い考えですか？

Question

現在取り組んでいるプロジェクトの登録システムを開発しています。

プロセスが長すぎる場合、ユーザーはサインアップしない傾向があるため、私は（少なくとも最初は）電子メールのみを必要とし、自動生成されたパスワードを送信します（これにより、電子メールアドレスを確認することもできます））。また、登録を迅速に完了するために、弱いパスワードを選択することもできなくなります。

今までのところ、マイナス面は見つかっていませんが、このシステムを使用しているサイトを見たことがないので、気になる点がいくつかあります。

それは良い考えですか？

PS：もちろん、Facebookや他の同様のサービスを介してサインアップを実装し、パスワードを必要とせずにすばやくサインアップできるようにしますが、多くの場合、プライバシーの問題から、またはそうでないために、クラシックサインアップを選択したいと思うかもしれません。それらのサービスのいずれかを使用します。

Arseni Mourzenko · Accepted Answer

問題は、パスワードがプレーンテキストで表示されることは、ほとんどありません。

あなたの場合、パスワードはプレーンテキストで電子メールに表示されます。これにはいくつかの欠点があります：

その人のアカウントが侵害された場合、ハッカーはあなたのウェブサイトにもアクセスできます。
途中に悪意のある人がいた場合、簡単にパスワードにアクセスできます。

さらに：

自動生成されたパスワードは覚えるのが難しいので、ユーザーの生活を楽にする代わりに、パスワードを書き留めることを難しくしていると同時に、ポストイットにパスワードを書き留めておくことをお勧めしています。セキュリティの観点から。

これが、登録時にそのようなパスワードを生成するほとんどのWebサイトが使い捨てパスワードにする理由です。つまり、ユーザーはランダムなパスワードを含む電子メールを受信しますが、それを使用してログインすると、Webサイトはすぐにユーザーが選択した新しいパスワードを要求し、上記の3つの欠点を防ぎます。

Claudiu Creanga · Answer

正直なところ、それほど価値はありません。

1）ほとんどの人は覚えている自分のパスワードを使用します。その場合、パスワードを変更させると、登録時に追加フィールドに入力するよりも時間がかかります。

あなたのシステムの利点は、それまでにユーザーが登録されているので、それを失うことがないということかもしれません。

2）ユーザーがパスワードマネージャーを使用している場合、password managerを作成するだけの方が簡単です。後でファイルを編集して生成されたパスワードを挿入するよりも、1回のクリックで好みのユーザー名とランダムなパスワードを入力するだけです（おそらく）追加で3または4回のクリックが必要です）。

3）現在のシステムは非常に広く使用されているため、パスワードフィールドがないために混乱する人もいます（グーグルでやったように、グーグルで信頼しています）。