アカウントの作成中に、パスワードを自動的に生成してユーザーに送信する方がいいですか、それともユーザーが自分でパスワードを作成できるようにするほうがよいですか。
この質問は、私たちが取り組んでいるWebサイトの「アカウントの作成」ページについて同僚と話し合っているときに今日出てきました。
私の同僚の意見では、できるだけ迅速かつシームレスに登録を行う必要があるため、ユーザーにメールを要求し、残りの部分は処理する必要があります。
私はその意図に同意しますが、それについていくつかの懸念があります。
- パスワードを生成するので、haveパスワードが十分に強力であることを確認する責任があります
- 私の経験では、理解できないパスワードに直面すると、ユーザーはそれを投稿に書き留める可能性があります
- パスワードを書き留めないユーザーは、それを忘れる可能性が非常に高いです。つまり、定期的に新しいパスワードを要求する必要があり、誰にとっても面白くない
ただし、ユーザーが作成したパスワードの一般的な品質と、あまりにも多くの人々がすべてに同じパスワードを使用する傾向があるという事実(「震え」)を考慮すると、ユーザーに強力なパスワードを生成することが理にかなっていることがわかります。
私はまだそれについて引き裂かれました。私たちはユーザーがクレジットカードの詳細を保存するオプションがある販売者のウェブサイトに取り組んでいるので、最も安全なアプローチを使用することは明らかに非常に重要です。
電子メールアプローチの利点は、この方法で、ユーザーが自分で制御する有効な電子メールアカウントを提供したことを確認することです。
ただし、電子メールチャネルは安全でないことで有名です。つまり、パスワードが傍受される可能性があります。したがって、このアプローチは、生成されたパスワードが最初のログインで1回だけ使用され、ユーザーが変更する必要があることが確実な場合にのみ検討する必要があります。
Webサイトへのtls/ssl接続は、気付かれずに傍受するのがはるかに難しいという意味で、直接的なアプローチの方が安全です。