6

SO でパスワードを回復することについては多くの質問がありますが、次の 2 つのいずれかを考慮してパスワードを変更することについてはありません。

1) ユーザーはすでにシステムで認証されています (user/pw または facebook/twitter などのサード パーティ認証を使用)
2) ユーザーは自分の古いパスワードを知っています。

これらの出発点を考えると、ユーザーが自分のパスワードを最小限の手順で変更できるようにするためのベスト プラクティスとは何かについて、2 つの明確な質問があります。

シナリオ (ユーザーは既に認証され、システムにログインしています):
古いパスワードを入力してください: _ __ _ _ _ (1: これを削除できますか)
新しいパスワードを入力してください: _ __ _ __ _
新しいパスワードを もう一度入力してください: _ __ _ _ _ ( 2: これを取り除くことはできますか)

1) ユーザーに古いパスワードを入力させなくても大丈夫ですか? この場合、ユーザーはすでにシステムに認証されていると想定しています。ユーザーにパスワードを再入力させるのは冗長に思えます。これは、セキュリティの高いアプリケーション (バンキングなど) にとって重要であり、ユーザーが無人でセッションを終了すると、この状況に陥ったパスワードを知らなくても、誰かが新しいパスワードを入力できるようになる可能性があることを理解しています。

私が提示している例では、アプリケーションのセキュリティはそれほど高くなく、リスクは低いです。また、第三者認証 (facebook/twitter) を許可しているため、理論的には、他の誰かがマシン上にいて、ユーザーが facebook/twitter のライブ cookie を持っていれば、アカウントに入ることができます。

2) ユーザーに新しいパスワードを 2 回入力させなくても大丈夫ですか。これはちょっと90年代っぽい感じです。現在、人々はパスワードに慣れており、パスワードを予想とは異なる方法で入力する可能性が 5% であっても、2 回入力するのに費やす時間よりも重要ではないようです。その 5% のシナリオでは、最悪の場合、パスワードをリセットする必要があります (または、facebook/twitter でログインしてリセットする必要があります)。現在これを行っていることがわかった Web サイトの 1 つに Quora があります (まだステップ 1 を行っていますが)。他の多くの人が同じことをしているのを見たことがありません。

4

4 に答える 4

6

まず、特にユーザーが自分のアカウントへのアクセスを許可するキーそのものを変更する場合は、ユーザーが自分の言うとおりの人物であると決して、絶対に、絶対に、絶対に思い込まないように注意してください。パスワードを編集するために常にパスワード認証を要求する方法は、非常によく使用されます。

パスワードを 2 回入力することに関しては、ほとんどの場合、バックエンドで行われるため、2 つのパスワードを比較して同一であることを確認できます。これは、ユーザーが入力時にパスワードを入力するつもりであったことを確認するために行われます。同じタイプミスを 2 回続けて行う可能性は低いため、2 つのパスワードが同一である場合、タイプミスがないと考えることができます。

個人的には、パスワードを入力したことに気づき、パスワードをリセットし、メールにアクセスし、Web サイトに再度アクセスしてから、パスワードを再入力するという面倒な作業を行うよりも、パスワードの再入力に 1 日のうち 10 秒を費やしたいと考えています。パスワードを再入力してください。結局のところ、2 回入力する必要がありますが、最初の方法ははるかに合理的です。

また、最初に認証方法を使用できることをユーザーに確認してもらうことなく、ユーザーが認証方法を編集することを決して許可しません。一部のユーザーは、席を離れるときにコンピューターをログインしたままにし、他のユーザーが座って個人データにアクセスできるようにします。現在のパスワードを入力せずにパスワードを変更するアクセス権があれば、アカウントが簡単に変更される可能性が高くなります。虐待された。

于 2011-07-09T00:04:41.207 に答える
2

古いパスワードを入力させる正当な理由の 1 つは、正当なユーザーが起きてトイレに行き、いたずら者がパスワードを変更することにした場合です。

個人的には、新しいパスワードを 2 回入力してもかまいません。おそらく何人かの人々はそうします。

いずれかまたは両方のステップを削除することを選択できることは確かです。しかし、そうなるかもしれません。

このユーザー名/パスワードのガベージを排除するIMOのより良い方法は、SOが行ったことを行い、OpenIDまたはX509証明書などの他の代替認証方法を使用することです。

于 2011-07-09T00:02:06.183 に答える
2

私の理解では、古いパスワードを入力する必要があるのは、ユーザーが誤ってログインしたままにしてアカウントを離れた場合のアカウントの乗っ取りを防ぐためです。はい、そのような場合、ハイジャッカー (通常、Facebook にログインしたままにしておくことに気付いた誰かの友人) は、ばかげた投稿や攻撃的な投稿などを行いますが、少なくとも元のパスワードがなければ、効果的にロックアウトすることはできません。元のユーザー。

2 番目のケースでは、ユーザーにもう一度パスワードを入力するように求めるのは、あまり不適切ではないと思います。適切なパスワードの場合は、比較的複雑にする必要があるため、入力するのが少し難しくなります。2 番目のエントリを要求するのは少し面倒ですが、それほど不合理ではありません (IMO)。

于 2011-07-09T00:03:22.237 に答える