Estoy desarrollando un sistema de registro para un proyecto en el que estoy trabajando.
Dado que los usuarios tienden a no registrarse si el proceso es demasiado largo, pensé que requeriría (al menos inicialmente) solo su correo electrónico, donde les enviaría su contraseña generada automáticamente (y eso también me permitiría verificar su dirección de correo electrónico) ) Eso también les impediría elegir una contraseña débil para completar el registro rápidamente.
No he encontrado ningún inconveniente hasta ahora, pero me temo que hay algunos, ya que nunca he visto un sitio que use este sistema.
¿Es eso una buena idea?
PD: por supuesto, también estoy implementando el registro a través de Facebook y otros servicios similares para permitir que las personas se registren rápidamente sin necesidad de una contraseña, pero muchos pueden elegir el registro clásico por cuestiones de privacidad o porque no lo hacen usar cualquiera de esos servicios.
fuente
Respuestas:
El problema es que una contraseña debería aparecer en texto plano tan raramente como sea posible.
En su caso, la contraseña aparece en texto plano en un correo electrónico. Esto tiene varios inconvenientes:
Si la cuenta de la persona se ve comprometida, el hacker también tiene acceso a su sitio web.
Si hay un hombre malicioso en el medio, puede acceder a la contraseña con facilidad.
Además:
Es por eso que la mayoría de los sitios web que generan tales contraseñas durante el registro las convierten en contraseñas de un solo uso. En otras palabras, el usuario recibe un correo electrónico con una contraseña aleatoria, pero una vez que lo usa para iniciar sesión, el sitio web solicita inmediatamente la nueva contraseña elegida por el usuario, evitando los tres inconvenientes mencionados anteriormente.
fuente
Honestamente, no tiene mucho valor.
1) La mayoría de las personas usan su propia contraseña que recuerdan. Si lo hacen, hacer que cambien su contraseña llevará más tiempo que completar un campo adicional durante el registro.
El beneficio de su sistema puede ser que para entonces el usuario esté registrado para que no lo pierda.
2) Si usan un administrador de contraseñas, es más fácil hacer que el administrador de contraseñas complete su nombre de usuario preferido y una contraseña aleatoria con 1 clic que tener que editar el archivo después e insertar la contraseña generada (es probable que tome 3 o 4 clics adicionales )
3) El sistema actual es tan utilizado que algunas personas se confundirán por la falta de un campo de contraseña (como hice con google, pero es google y confío en él).
fuente