Разрешить пользователю не иметь пароля?

Question

Считаете ли вы правильным, что если веб-сервис не хранит никаких личных данных или данных безопасности, он должен решать пользователю, какую длину пароля использовать, или даже не иметь пароля?

Answer 1

Это зависит от того, для чего используется учетная запись пользователя.Здесь используются 3 формы:

1. Аутентификация
2. Авторизация
3. Идентификация

Если вас интересует либо Аутентификация, либо Авторизациятогда вы должны иметь пароль.Отсутствие пароля делает это бессмысленным.Если вашей единственной целью является идентификация, и нет реальной потери / выгоды безопасности, позволяющей пользователю неверно идентифицировать себя, тогда пароль становится излишним.Опять же, если это так, сама идентификация становится излишней, и вам следует рассмотреть возможность предоставления открытого доступа.

Answer 2

Для чего нужен пароль? Это должно помочь обеспечить аутентификацию. Если вам нужно обеспечить аутентификацию, вам нужны средства для этого. Пароль - это всего лишь инструмент, который помогает этому.

Answer 3

Во-первых, как четко сказано в других ответах, вам всегда требуется пароль , поскольку это не противоречит цели аутентификации.

Сказав это, почему бы вместо этого не использовать openID или Facebook Connect? Сейчас слишком много сайтов, требующих регистрации даже для самых тривиальных вопросов. Использование Facebook Connect или OpenID обеспечит вам огромное удобство использования в сознании пользователей.

Answer 4

Если вам нужна аутентификация с помощью паролей, тогда ваши пароли должны быть такими же безопасными, как и операции вашего сайта для пользователей.

Answer 5

Какой смысл иметь учетные записи, если вы хотите, чтобы у пользователя не было пароля?Цель счетов это подотчетность.Отсутствие пароля удаляет это.