【问题标题】:What's the best way to implement password recovery from a usability perspective?从可用性的角度来看,实现密码恢复的最佳方法是什么?
【发布时间】:2011-03-24 18:03:16
【问题描述】:

我阅读了关于 SO 的其他密码恢复问题,似乎大多数人认为发送一个只能使用一次并在几天后过期的密码恢复链接是最安全的。

现在我的问题,(我知道这是主观的,但我正在寻找您可能从您的用户那里收到的意见)

这对用户来说也很舒服吗?至于用户,我指的是你的祖母,而不是你的同事。

【问题讨论】:

  • 我们如何知道它是否适合您的用户?您自己可能已经经历过这个过程几次。 觉得它够用了吗?
  • 大多数“你的祖母”通常在使用电子邮件时遇到问题。如果您假设计算机知识达到一定(低)水平,是的,这很舒服。而现在,与编程的关系......?
  • 祖母们希望你给他们邮寄一个重置密码。
  • @Amadan 这是用户交互设计,在我看来,它与编程密切相关。
  • 我认识的祖母希望重置密码以便与他们的孙子之一进行电话会议。它还应该重新启动奶奶 PC 上的远程访问软件。 ;)

标签: security user-friendly


【解决方案1】:

作为用户,我喜欢自己选择一个新密码,然后收到一封激活邮件,其中提供了一个可点击的链接以使新密码生效。

我不喜欢新的一次性密码发送给我,让我登录并在我的个人资料中编辑它。

不过,最好的办法是拥有 OpenID 登录,因此我根本不需要保留任何密码。

【讨论】:

  • 除了您的 OpenID 登录密码 ;) 我知道您可以检查“保持登录”选项,但密码仍然存在。
  • @Lazarus 我的 OpenID 提供商允许我使用客户端证书进行身份验证,因此我不需要密码即可登录。然而,这有点离题。 :)
  • 您对 OpenID 的看法是正确的,但大多数普通用户还没有 OpenID(他们知道)。
【解决方案2】:

还有什么比点击激活链接并输入新密码更简单的呢?

【讨论】:

    【解决方案3】:

    在访问控制、可用性或安全性方面,您的网站的重点是什么?

    如果它的可用性,那么也许以纯文本形式存储密码并允许它们根据请求发送到注册的电子邮件地址就足够了,并且可能比更安全的替代方案更有用。

    如果安全是答案,那么陷门编码和密码重置是更好的选择。

    【讨论】:

    • 我妈妈曾经忘记了她的网络邮件帐户的密码。他们提供了一张表格,她要在其中填写很多个人详细信息,以便收到她的密码。她为自己填写了正确的数据,经过人工审核后,她收到了一封带有密码的邮政信函。至少这是她教的,直到她意识到这不是她的帐户。她有另一个用户名。人工审核中一定出现了严重错误。 :)
    • 这总是有风险的,但“通过电子邮件发送我的密码”方法至少依赖于与用户帐户关联的存储默认电子邮件地址,因此您的妈妈不会像她那样收到密码' t 输入了另一个接收密码的地址(邮寄或电子邮件)。
    【解决方案4】:

    根据经验,我建议如下:

    1. 用户填写“忘记密码”表单,该表单会向他们发送一封电子邮件。
    2. 电子邮件包含(至少)一个密码重置链接。
    3. 如果他们点击链接,他们会收到一个随机生成的新密码。 (为清楚起见,混合使用上/下字母和数字负 0、o、1、i 等。)

    虽然从纯粹的可用性角度来看,这可能并不理想(在理想情况下,您一开始就不必有密码,让我们面对现实吧),但它确实试图确保您正在执行合法的密码重置。

    或者(或者实际上与上述结合),您可以允许用户存储一个简单的密码提醒文本字符串,该字符串也出现在第一封出站电子邮件中。 (如果他们在这个阶段意识到密码是什么,他们可以简单地输入密码,而不必执行重置。)但是我不建议在网站本身上输出它,因为它可能是一个太强的线索。

    【讨论】:

      【解决方案5】:

      从可用性的角度?如果连续 3 次登录失败,则假定他们已经合法地忘记了密码,无论如何都要让他们进入并提示更改密码。

      我见过的用于低安全性帐户的最佳系统之一是邮寄链接。用户无需记住站点 URL、用户名或密码。该网站不了解用户在管理密码方面的任何弱点。

      【讨论】:

        猜你喜欢
        • 1970-01-01
        • 1970-01-01
        • 2010-10-06
        • 1970-01-01
        • 2010-09-09
        • 2011-05-20
        • 2010-09-21
        • 1970-01-01
        • 1970-01-01
        相关资源
        最近更新 更多