risposta-alla-domanda-sullo-sviluppo-web-bd.com

È necessario che un utente abbia effettuato l'accesso dopo aver reimpostato la password?

Assumiamo il seguente flusso:

  1. Voglio accedere
  2. Non ricordo la password
  3. Faccio clic sul collegamento "password dimenticata" (la posta elettronica viene inviata)
  4. Controllo la mia posta in arrivo e faccio clic sul collegamento
  5. Digito una nuova password
  6. Fatto

Perché, dopo aver eseguito questi passaggi, non ho effettuato l'accesso ma ho invece presentato la schermata di accesso? Se rimandiamo a 1. allora sembra ovvio che vorrei accedere.

Ci sono casi d'uso in cui qualcuno vorrebbe cambiare la propria password tramite il link "Ho dimenticato la mia password" e non accedere? A meno che non mi manchi qualcosa ovvio, l'intenzione è chiara e l'identità è stata stabilita utilizzando il link di reset da e-mail.

Indica quali sono i tuoi pensieri, indica se l'utente deve aver effettuato l'accesso dopo aver reimpostato la password?

Correlati: Dovrebbe confermare l'autologin dei collegamenti e-mail se l'utente non ha effettuato l'accesso? (la mia risposta sarebbe sì)

formsloginpasswordsecurityworkflow
33
Mars Robertson

No. Anche se sembra fastidioso, vedo quattro problemi nel non dover inserire nuovamente le informazioni di accesso:

  1. Ricorderò meglio la mia nuova password se devo digitarla ancora una volta. (Continuo a dimenticare la mia nuova password di e-banking perché non devo reinserirla e ovviamente non la memorizzo nel browser.)
  2. Se voglio memorizzare la password, il PW manager del browser è talvolta confuso dalla modifica PW e non è in grado di trattarla correttamente; questo non è il caso quando inserisco una PW diversa nel modulo di accesso standard
  3. Dover usare la password è il modo migliore per assicurarsi che la password sia stata davvero cambiata.
  4. (sicurezza) IMHO è meglio quando un utente accede solo con il pulsante LOG IN e mai con nessun altro come CAMBIA PASSWORD pulsante.
42
yo'

A mio avviso: SÌ.

L'autenticazione è stata eseguita quando la password è stata reimpostata, quindi l'utente potrebbe essere loggato. E mi dà fastidio quando dopo la reimpostazione della password non ho effettuato l'accesso.

Non riesco a pensare a nessun caso in cui non vorrei essere registrato dopo aver reimpostato la password, perché dovrei anche chiedere di reimpostare la password se non desidero accedere ?

34
Samuel M

Per la stragrande maggioranza delle situazioni gli utenti devono accedere dopo aver reimpostato la password. Fondamentalmente, una volta che hai autenticato qualcuno abbastanza da poter cambiare una password, li hai anche autenticati abbastanza da poter svolgere l'attività che probabilmente desideravano svolgere.

Vi sono tuttavia alcune situazioni relativamente rare in cui ciò non è fattibile:

  • Dove hai un nome utente per un sistema, ma non è chiaro a quale sito devi accedere. Ad esempio, se sei un contabile e hai un nome utente/password per un sistema di contabilità online che usi per molti clienti. Spesso ci saranno nomi di dominio separati per ogni client come client1.accounting.com e client2.accounting.com. Qui la reimpostazione della password si applicherebbe a tutti i siti correlati, ma non è chiaro a quale sito si debba accedere.

  • Se l'autenticazione è gestita da un sistema separato per l'applicazione. Non è che non sarebbe una buona UX fare questo, solo che potrebbe essere un grosso mal di testa tecnico, e quindi non considerato valido.

5
JohnGB

Perché non creare due pulsanti "Cambia password e login" e "Cambia password"? Avere un'altra opzione non fa male secondo me.

0
Mark Vizcarra

La situazione è un po 'controversa. In realtà dipende dalla prospettiva dell'utente di come l'utente reagisce a seconda della situazione.

Possiamo spiegare la situazione usando 2 punti di vista:

  1. Dal punto di vista dell'utente, è ovvio che potrebbe pensare a non inserire nuovamente la password una volta che l'ha cambiata. In tal caso l'utente potrebbe essere infastidito e pensare che reinserire la password sarà una perdita di tempo. Pertanto, è corretto non inserire nuovamente la password.

  2. Dal punto di vista tecnico (in particolare dal punto di vista dei test), può accadere che l'utente abbia effettuato l'accesso all'account pochi giorni fa utilizzando qualsiasi altro dispositivo come cellulare, tablet ecc.

Pertanto, una volta reimpostata la password, all'utente viene nuovamente richiesto di immettere la nuova password in modo che la conferma venga inviata al sistema quando la password viene modificata. Quindi è necessario inserire nuovamente la password.

0
talktokets