web-dev-qa-db-ja.com

初回使用時にパスワードを変更(手紙からの一時的なパスワードを使用)

私はクライアントが資金を表示するためにアクセスする金融Webアプリに取り組んでいます。

現在、クライアントには最初のログイン用の一時的なパスワードが記載されたレターが送信されます。このパスワードを使用すると、パスワードの変更画面が表示されます。

この画面では、

  • 一時パスワードから文字を再入力します
  • 新しいパスワードを入力して再入力します。

これが完了すると、ユーザーは「パスワードを変更しました」という確認を受け取り、ログイン画面に戻ります。

私の質問は:

  • この場合、ユーザーはパスワード変更画面で一時パスワードの一部(またはすべて)を再入力する必要があります(一時パスワードでアクセスできる唯一の画面であるため)。私の考えでは、「i、これはXXアプリケーションへの最初のログインです。セキュリティのためにパスワードを変更してください」というメッセージが表示され、パスワードを変更するための入力を提供する必要があります。

  • 変更後、残りの設定手順を続行するか(別のセキュリティパスフレーズを選択して個人の入力を行う)、それとも新しいパスワードで再ログインするために追い出されますか?

usabilityinteraction-designloginpassword
3
steviefish

私は財務アプリケーションにも取り組んでおり、同様の設定を使用しています。金融機関の支店に実際に立ち寄って登録する新規の方には、一時的なユーザー名と一時的なパスワードの両方を異なるチャネルを介して送信します。たとえばSMSメッセージとして携帯電話に仮のユーザー名と仮のパスワードを送信します。これにより、通信へのアクセス権を取得することで、アカウントを要求する人からの保護を少し強化できます。チャネル(両方が必要です)と顧客の2つのチャネルを簡単に確認できるため、手動でアクティブ化する必要はありません。

何時間ものユーザビリティ調査とセキュリティ分析の後、「一時的なログイン認証情報を変更してください」画面がnotに一時的なデータの再入力をユーザーに要求することは完全に許容できると判断しました。彼らはちょうどログインに使用しました。また、新しい認証情報を設定した後、作成した新しいユーザー名とパスワードで再度ログインする必要なく、登録のプロセスを続行することも決定しました。

プロセスはシームレスで、流動的で、ユーザーにとって快適です。また、アプリケーションは約1年前から本番環境で使用されているため、これを調べて実世界のテストに耐えたアナリストによって安全であると見なされました。

資格情報を作成した直後に資格情報を再入力させることによるセキュリティ上の利点は最小限でも最小限であるため、私の提案は、ユーザーにとってシンプル、簡単、かつ流動的にすることです。

1
irreal

一部の文字数を要求するという考えは良いですが、ユーザーはメールからパスワードをコピーする傾向があり、ここに貼り付けます。部分的な入力は、ユーザーの作業をより効率的にするため、必要ではないと思います。

逆に、サインアップ中にユーザーからメールIDを取得した場合、パスワードを要求するリンクをユーザーにメールで送信できます。これにより、コピーと貼り付けの作業も削減されます。また、アカウントを確認し、ユーザーの負担を軽減します。

ユーザーをログイン画面にループさせる代わりに、ユーザーをアプリに取り込むことができます。彼らは、ブラウザまたはサードパーティのアカウントホルダープラグインを使用してアカウントデータを保存します。

これがあなたにいくつかの説明を与えることを願っています。乾杯!

0
user3464111