risposta-alla-domanda-sullo-sviluppo-web-bd.com

Dobbiamo davvero ricordare tutte le password?

Mi chiedo solo se abbiamo davvero bisogno di ricordare o annotare tutte le password che usiamo per la mera quantità di applicazioni al giorno d'oggi. Perché un utente non può semplicemente fare clic su password dimenticata ogni volta che vuole accedere? Questa soluzione esiste per le app mobili in cui l'utente ottiene un OTP ogni volta che desidera accedere senza ricevere una password.

Una password generata dal sistema è più sicura di quella generata casualmente dall'utente. Tuttavia, ci sono alcuni svantaggi come a) Poche applicazioni non generano chiavi casuali ma costringono l'utente a reimpostare la password. b) La reimpostazione di una password è complicata e richiede tempo nei siti bancari in quanto richiede una buona quantità di tempo per riflettere o potrebbe essere necessario visitare la banca di persona (specialmente in India)

Seguo questa pratica abbastanza spesso, ma vorrei sapere se qualcun altro segue lo stesso schema. O c'è qualche ricerca su questo argomento finora. qualche idea?

MODIFICA 1: aggiunta di ulteriori informazioni

  1. Voglio sapere se qualcuno ha effettuato test utente o case study disponibili?

  2. Sto cercando i pensieri delle comunità. Proverebbero a dimenticare il collegamento della password anziché a memorizzarla dopo aver letto questa domanda.

  3. Quante persone usano questa opzione [di nuovo è aperto]

EDIT 2: Pochi dei commentatori suggeriscono il gestore delle password, ma ritengo che siano costosi per gli individui e che i problemi di sicurezza sarebbero sempre lì.

7
Hemchandra

Sicurezza

Un problema è la sicurezza. Se non ricorderai la tua password, l'applicazione dovrà fornirne una nuova, sia tramite e-mail o sms.

Email - L'email è intrinsecamente insicura . Qualsiasi e-mail può essere intercettata, se si genera una password complessa e la si invia per e-mail all'utente come una sola password, un utente malintenzionato può accedere a tale password e violare il proprio account. Anche se si genera un collegamento di reimpostazione della password con token hash in scadenza rapida, un utente può intercettarlo e accedere al proprio account.

Sms - No, non c'è soluzione migliore qui Anche gli SMS non sono sicuri . Quindi, come indicato con la posta elettronica, qualsiasi tentativo di inviare all'utente un modo per verificare la propria identità può essere utilizzato dai propri per impersonare la propria identità.

Certo, ci sono app OTP che usano queste tecniche e per la maggior parte i loro utenti andranno bene, ma quando la sicurezza è importante queste tecniche non saranno paragonabili a con una password complessa ( e ricordarlo).

Alternative? Sicuro di poter rendere più sicura la tua applicazione OTP, ma dovrai trovare un modo per l'utente di ottenere la nuova password in modo sicuro. È qui che entrano in gioco i generatori di token OTP come questo . Consentono agli utenti di generare i propri token che comunicano in modo sicuro con i server consentendo all'utente di accedere senza che password non sicure vengano mai trasmesse.

Tuttavia, che cosa è più difficile, acquistare a ciascuno dei tuoi utenti un dispositivo di autenticazione hardware o dire loro di ricordare la loro password ?

1
DasBeasto

Hai controllato i gestori di password, come 1password o LastPass? Sono soluzioni create appositamente per questo problema.

Se stai pensando di costruire il tuo login del prodotto intorno alla cosa della password dimenticata, penso che sia abbastanza interessante. Mi piacerebbe vedere alcuni prototipi attorno a questo.

Sembra che la domanda principale sia come l'utente si verificherebbe senza password? Forse l'autenticazione a 2 fattori è qualcosa che potresti esaminare, ad esempio Authy fa cose interessanti in questo spazio.

1
Satu

(Dovrei iniziare dicendo che questa domanda è probabilmente troppo guidata dall'opinione/non del tutto StackExchangy. Sento che stai chiedendo le opinioni delle persone più che le politiche che forniscono una UX ottimale.)

La maggior parte dei problemi associati alle password è stata descritta da Angela Sasse come The Great Authentication Fatigue . I problemi con le password includono: (a) lo sforzo di accedere a un sistema molto frequentemente (ad es. 20 volte al giorno), (b) password usate raramente, che sono stati dimenticati, (c) requisiti per la creazione della password, con conseguente difficoltà nella creazione e nel richiamo delle password, (d) scadenza della password, che spreca gli sforzi passati degli utenti per creare buone password.

Non indagato lì, ma in altri studi, gli utenti hanno troppe password, portando a interferenze di memoria quando ricordano una singola password. Florêncio et al. hanno mostrato in Portafogli password e l'utente finito perché il riutilizzo della password e le password deboli sono utili agli utenti: hanno troppe password da ricordare per essere tutte forti e uniche.

Le soluzioni più tangibili a questo problema sono gestori password e schemi di autenticazione federata .

I gestori password riducono il numero di password che devi ricordare memorizzandole per te, ma possono introdurre costi di manutenzione e affidabilità su un servizio online o un dispositivo specifico che memorizza le password.

Gli schemi di autenticazione federati si basano su provider di autenticazione come Google, OpenID o Facebook per autenticarti senza dover gestire alcun fattore di autenticazione segreto. Introducono rischi per la privacy poiché i fornitori di servizi potrebbero utilizzare i tuoi eventi di autenticazione per rintracciarti e pongono anche un legame di fiducia su questi fornitori in quanto sono in grado di accedere ai tuoi account a tua insaputa.

Non ci sono altre soluzioni tangibili a questo problema. Assolutamente nessuna delle valutazioni per alternative alle password fornisce prove credibili che questi schemi alternativi non soffrirebbero degli stessi problemi delle password se applicati su larga scala . L'unico sforzo sviluppato per sostituire le password che considera la scala del mondo reale è Pico , che è ancora in fase di sviluppo e valutazione.

1

Mi piace molto il modo in cui Medium gestisce il processo di accesso. Oltre a utilizzare tutti i metodi di social network per accedere, puoi anche richiedere un link di accesso inviato alla tua e-mail che fai clic per accedere. Non è necessario ricordare la password, ecc. Questo potrebbe probabilmente diventare fastidioso per qualcosa a cui accedi spesso attraverso una giornata, ad es bancario ecc., e con qualcosa di così sensibile c'è probabilmente anche un grosso problema di sicurezza.

A tale proposito, con cose come TouchID che diventano sempre più diffuse, farà sì che molte persone dimentichino le loro password effettive se dovessero mai accedere 'manualmente'!

0
Zahid Ali

Se io, uno sviluppatore di sistema, faccio affidamento sull'accesso a un account e-mail per provare che qualcuno è il legittimo titolare di un account registrato nel mio sistema, non ho davvero bisogno che l'utente registri una password con me. Tutti possiamo fare affidamento su un rispettabile lettore Internet per autenticare gli utenti (come Google, OpenID o Facebook) e non abbiamo bisogno di compromettere la privacy o altro. Sarebbe sufficiente chiedere a questa autorità se [email protected] è davvero lui o no. È come chiedere a qualcuno di autorità se John è davvero chi dice di essere. Penso che questo sia un buon UX perché allevia lo sforzo di accedere a un sistema senza compromettere la sicurezza.

0
user2198816