Каков наилучший способ восстановления пароля с точки зрения удобства использования?

Question

Я прочитал другие вопросы о восстановлении пароля в SO, и кажется, что большинство людей считают, что отправка ссылки для восстановления пароля, которая может использоваться только один раз и срок действия которой истекает через пару дней, является наиболее безопасной.

Теперь мой вопрос (я знаю, что это субъективно, но я ищу информацию, которую вы, возможно, получили от ваших пользователей)

Это также прилично удобно для пользователей? и под пользователями я подразумеваю вашу бабушку, а не вашего коллегу.

Answer 1

Как пользователь, мне нравится, когда я могу выбрать новый пароль по своему выбору, а затем отправить мне письмо с кодом активации, содержащее ссылку для активации нового пароля.

Я ненапример, когда мне отправляют новый одноразовый пароль, чтобы я мог войти в систему и отредактировать его в своем профиле.

Лучше всего, однако, иметь OpenID, поэтому мне не нужнолюбой пароль вообще.

Answer 2

Что может быть проще, чем щелкнуть ссылку активации и ввести новый пароль?

Answer 3

С точки зрения удобства использования?Если при входе в систему три раза подряд происходит сбой, предположим, что он на законных основаниях забыл свой пароль, в любом случае впустите его и запросите изменение пароля.

Одна из лучших систем, которые я видел для учетных записей с низким уровнем безопасности,это отправить ссылку.Пользователю не нужно запоминать URL сайта, имя пользователя или пароль.Сайт не узнает ни о каких недостатках, которые есть у пользователя при управлении паролями.

Answer 4

Исходя из опыта, я бы порекомендовал следующее:

1. Пользователь заполняет форму "забытого пароля", которая отправляет ему электронное письмо.
2. Письмо содержит (как минимум) ссылку для сброса пароля.
3. Если они нажимают на ссылку, им отправляется новый случайно сгенерированный пароль. (Для ясности сочетание верхнего / нижнего буквенного и числового минус 0, o, 1, i и т. Д.)

Хотя это может быть не идеальным с точки зрения чистой юзабилити (в идеальном мире вам не нужно было бы иметь пароль во-первых, давайте посмотрим правде в глаза), однако он пытается обеспечить выполнение вами сброс действительного пароля.

В качестве альтернативы (или даже в сочетании с вышеизложенным) вы можете разрешить пользователю сохранять простую текстовую строку напоминания пароля, которая также присутствует в первом исходящем электронном письме. (Если они понимают, что за пароль на данном этапе, они могут просто ввести его, а не выполнять сброс.) Однако я бы не рекомендовал выводить его на сам веб-сайт, поскольку он может быть слишком сильным ключом.

Answer 5

Какова цель вашего сайта, когда дело доходит до контроля доступа, удобства использования или безопасности?

Если это удобство и простота использования, то, возможно, достаточно сохранить пароли в виде простого текста и разрешить их отправку на зарегистрированный адрес электронной почты по запросу и, возможно, более удобно, чем более безопасная альтернатива.

Если ответом является безопасность, то лучшим вариантом будет кодировка люка и сброс пароля.