Несколько паролей Логин: хорошо или плохо - PullRequest
Новая
       8

Несколько паролей Логин: хорошо или плохо

4 голосов
/ 04 декабря 2010

Я нахожусь в стремлении создать максимально гибкую систему входа в систему для пользователей, о которой я могу подумать, и ищу обратную связь для некоторых идей.(система также в настоящее время имеет опцию интеграции OpenID)

Я занимался пересмотром одной из моих систем входа пользователей, и концепция меня просто поразила ...

Многим людям трудно вспомнитьодин пароль, большинство людей, которых я знаю, имеют несколько паролей, которые они используют от сайта к сайту, чтобы они могли их запомнить.

Будет ли хорошей идеей разрешить пользователям устанавливать несколько паролей (может быть ограничено, если пользователь вводит любой из них проход), если это можно было реализовать в удобной для пользователя форме?Конечно, пользователь может просто выбрать один пароль и вообще не беспокоиться об этой опции ...

Очевидно, что чем больше разрешено использовать паролей, тем больше вероятность того, что кто-то угадает, но совсем немного ...

Будет ли эта идея более полезной для пользователей или это будет просто боль?(идея использования более одного пароля для входа)

Какие возможные проблемы безопасности могут возникнуть из-за этого?

Стоит ли это того для пользователя?(игнорируя дополнительное кодирование и структурирование)

любые другие мысли ...

Система забытых паролей:

Я уже внедрил систему "Забыли пароль", которая невключает в себя сброс пароля пользователя, но просто предоставляет временный пароль, который действует как временная задняя дверь, так что пользователь может войти, чтобы изменить пароль.Скорее всего, я бы сделал то же самое для этой системы, но как только пользователь добавит постоянный пароль, он отключит другие или что-то в этом роде ... опять же, его нужно будет настроить удобным для пользователя способом

Ответы [ 5 ]

3 голосов
/ 04 декабря 2010

Лично я бы это запутал.

Будет ли это выгоднее для пользователей? Это возможно. Я думаю, что это может сбить с толку многих неграмотных компьютеров.

Будут ли из-за этого возникать возможные проблемы с безопасностью? Не совсем, кроме увеличения шансов получить доступ к учетной записи пользователя.

Как бы вы внедрили необходимую систему "Забыли пароль"? Просто сбросить их на один компьютерный пароль?

2 голосов
/ 04 декабря 2010

Я думаю, что это побуждает людей повторно использовать существующие пароли, что является плохой идеей. Им даже не следует вводить пароль на свой банковский счет, на тот случай, если они забудут пароль, который они использовали специально для вашего сайта.

Рассмотрите возможность использования OpenID в качестве альтернативной системы. Это позволяет людям использовать один пароль для любой группы веб-сайтов, которые они считают достаточно незначительными, чтобы заслужить уникальный секретный пароль. И, кроме того, им никогда не придется сообщать вам, какой у них пароль.

1 голос
/ 04 декабря 2010

Вы увеличиваете вероятность того, что сайт будет скомпрометирован атакой грубой силы.

Весь предмет аутентификации (к счастью) выходит за рамки очень ограничительного понятия имени пользователя и пароля - пытаясьследить за множеством разных аккаунтов - это PITA.В зависимости от ограничений вашей системы, я бы рекомендовал рассматривать openid как альтернативу выделенной учетной записи.

0 голосов
/ 04 декабря 2010

Некоторые сайты связывают несколько открытых аккаунтов с одним (основным) аккаунтом. Кроме того, если один из ваших провайдеров openid не работает, вы не можете войти на сайт. Когда пользователь входит в вашу систему с помощью openid, присвойте ему уникальный идентификатор. После этого дайте пользователю возможность связать другой openid с этим уникальным идентификатором. НЕ храните пароли в вашей базе данных, а только открытые URL-адреса, чтобы ваша система была безопасной.

0 голосов
/ 04 декабря 2010

Во-первых, я предлагаю опубликовать ваш вопрос в вики, так как нет единого объективного ответа.

Теперь, ИМХО, не очень хорошая идея иметь несколько паролей.Когда пользователь забывает свой пароль, должна быть страница «Сбросить мой пароль», так что это не проблема.Наличие нескольких паролей может усугубить ситуацию: пользователь забудет каждый настроенный пароль (или, по крайней мере, забудет, какие пароли он добавил в список паролей на вашем веб-сайте), и в этом случае процедура сброса будет более запутанной.

Безопасность может немного пострадать.

И последнее, но не менее важное: система, которую вы хотите создать, сильно отличается от систем, которые мы в настоящее время используем на других веб-сайтах.Это означает, что:

  • Это будет сбивать с толку пользователей,
  • Это будет трудно построить и управлять, требуя другой системы для проверки паролей, другой схемы базы данных, специальнойстраница для управления паролями и т. д.
...