web-dev-qa-db-ja.com

招待メールには、一時的なパスワードと1回限りのログインURLのどちらが適していますか?

当社のWebアプリを使用すると、お客様は共同編集者をアカウントに招待できます。ユーザーは新しいユーザーのメールアドレスを送信でき、アプリは新しいユーザーにログインを招待するメールを送信します。ログインすると、新しいユーザーは顧客のデータを表示および編集できます。

これらの新しいユーザーをどのように認証に招待する必要がありますか?いくつかのオプション...

  • 一時的なパスワード(例:myapp.comでログイン!パスワードは 'bobcat5123'
  • 特別な1回限りのログインURLへのリンク(例:(myapp.com/login?token=fx4c23n89xでログイン))
  • 他のアイデア?

1回限りのログインをお勧めしますが、理由をお聞かせください:)

22

特別な1回限りのログインURLを使用をお勧めします。

理由:ドロップオフ率が最も低くなるようにプロセスをできるだけ簡単にしたいと考えています。誰かに一時的なパスワードを送信するには、選択していないパスワードを再入力するか、コピーして貼り付ける必要があります。また、追加のセキュリティ上の利点はありません。

30
JohnGB

次の両方を組み合わせて実行できます。ログインURLこれにより、ユーザー名と一時パスワードを使用して事前入力された形式に移動します。

基本的には、確認(?)メールを送信し、一時的な(一度ではない)パスワードとユーザー名、およびURL(ユーザー名とパスワードに暗号化が追加されている)を伝えます。

1
rk.