¿Generar contraseñas automáticamente durante el registro es una buena idea?

9

Estoy desarrollando un sistema de registro para un proyecto en el que estoy trabajando.

Dado que los usuarios tienden a no registrarse si el proceso es demasiado largo, pensé que requeriría (al menos inicialmente) solo su correo electrónico, donde les enviaría su contraseña generada automáticamente (y eso también me permitiría verificar su dirección de correo electrónico) ) Eso también les impediría elegir una contraseña débil para completar el registro rápidamente.

No he encontrado ningún inconveniente hasta ahora, pero me temo que hay algunos, ya que nunca he visto un sitio que use este sistema.

¿Es eso una buena idea?

PD: por supuesto, también estoy implementando el registro a través de Facebook y otros servicios similares para permitir que las personas se registren rápidamente sin necesidad de una contraseña, pero muchos pueden elegir el registro clásico por cuestiones de privacidad o porque no lo hacen usar cualquiera de esos servicios.

php javascript html5 user-interface user-experience Obstinado
fuente
3
Suena genial, lo único que me preocuparía es que las contraseñas sean demasiado difíciles y la gente no lo recuerde. Por lo tanto, agregaría una pantalla inicial para cambiar la contraseña cuando sus usuarios inicien sesión por primera vez.
Alexus
1
O, más bien, una sugerencia para que cambien, por lo que es importante que puedan hacerlo en cualquier momento que quieran, pero yo, como usuario, no cambiaría mi contraseña de inmediato, puede ser la próxima vez que inicie sesión.
Alexus
1
No creo que obstaculice el registro, pero como usuario lo veo como un obstáculo porque una vez que me registre, tendré que cambiar mi contraseña por una que yo elija. A menos que no ofrezca esa opción, eso sería aún más frustrante.
Last1Here
55
Al enviar la contraseña a un correo electrónico, se considera un problema de seguridad . Mi enfoque personal al respecto es que al registrarse, el usuario no proporciona (ni obtiene) una contraseña. Inicia sesión en la aplicación y recibe un correo electrónico de verificación. En la página de verificación, le pide que establezca una contraseña para su cuenta.
Tasos K.
2
No, creo que la mejor sugerencia es de @TasosK. - simplemente registra a una persona y envía un correo electrónico de confirmación. En ese correo electrónico hay un enlace similar al enlace de restablecimiento de contraseña que hace ambas cosas: confirma el correo electrónico y solicita al usuario que ingrese la contraseña al hacer clic en ese enlace.
Alexus

Respuestas:

13

El problema es que una contraseña debería aparecer en texto plano tan raramente como sea posible.

En su caso, la contraseña aparece en texto plano en un correo electrónico. Esto tiene varios inconvenientes:

  • Si la cuenta de la persona se ve comprometida, el hacker también tiene acceso a su sitio web.

  • Si hay un hombre malicioso en el medio, puede acceder a la contraseña con facilidad.

Además:

  • Las contraseñas generadas automáticamente son difíciles de recordar, por lo que en lugar de facilitar la vida de sus usuarios, lo está haciendo más difícil y al mismo tiempo alienta a escribir la contraseña en un Post-it, lo que puede no ser lo mejor. en términos de seguridad.

Es por eso que la mayoría de los sitios web que generan tales contraseñas durante el registro las convierten en contraseñas de un solo uso. En otras palabras, el usuario recibe un correo electrónico con una contraseña aleatoria, pero una vez que lo usa para iniciar sesión, el sitio web solicita inmediatamente la nueva contraseña elegida por el usuario, evitando los tres inconvenientes mencionados anteriormente.

Arseni Mourzenko
fuente
2
"Si la cuenta de la persona se ve comprometida, el hacker también tiene acceso a su sitio web". Eso siempre sucederá, al menos si tiene un restablecimiento de contraseña, que probablemente tendrá.
kat0r
1
@ kat0r: sí, en general. Todavía hay algunos casos marginales donde no es el caso. Un caso es cuando un pirata informático puede configurar la cuenta de correo para reenviarle todos los correos electrónicos: no puede solicitar el restablecimiento de la contraseña, porque esto puede parecer sospechoso para el propietario de la cuenta de correo electrónico.
Arseni Mourzenko 01 de
También tenga en cuenta que la contraseña súper duper generada automáticamente podría no ser realmente más segura que una buena contraseña generada por el usuario: xkcd.com/936
CD001
@ CD001: por eso se sugirió el uso de frases de contraseña generadas aleatoriamente en lugar de contraseñas generadas aleatoriamente , con el beneficio de ser mucho, mucho más fácil de usar.
Arseni Mourzenko 01 de
4

Honestamente, no tiene mucho valor.

1) La mayoría de las personas usan su propia contraseña que recuerdan. Si lo hacen, hacer que cambien su contraseña llevará más tiempo que completar un campo adicional durante el registro.

El beneficio de su sistema puede ser que para entonces el usuario esté registrado para que no lo pierda.

2) Si usan un administrador de contraseñas, es más fácil hacer que el administrador de contraseñas complete su nombre de usuario preferido y una contraseña aleatoria con 1 clic que tener que editar el archivo después e insertar la contraseña generada (es probable que tome 3 o 4 clics adicionales )

3) El sistema actual es tan utilizado que algunas personas se confundirán por la falta de un campo de contraseña (como hice con google, pero es google y confío en él).

Claudiu Creanga
fuente