1. ホーム
  2. 質問と答え
  3. 複数のパスワードログイン:良いOR悪い

複数のパスワードログイン:良いOR悪い

2010-12-03 12 views
4

私は考えることができる最も柔軟なユーザログインシステムを作りたいと思っており、いくつかのアイデアをフィードバックしています。複数のパスワードログイン:良いOR悪い

(システムはまた、現在、OpenIDの統合オプションを持っている)私は私のユーザーのログインシステムのいずれかを修正する過程にあったとコンセプトがちょうど私を襲った...

人のアロットは、トラブル単一のパスワードを覚えておくがあります私が知っている大多数の人々は、サイトからサイトに使用するいくつかのパスワードを持っているので、パスワードを覚えることができます。

ユーザーフレンドリーな方法で実装することが可能だった場合、ユーザーが複数のパスワードを設定できるように(制限することができますが、いずれかを入力すると継承が許可されます)良い考えですか?もちろん、ユーザは、単に可能性が高いいくつかのいずれかを推測することであるが、ごくわずか...

明らかに、より許容されたパスワード....すべてのオプションを気に1つのパスワードに固執していないことを選択することができ

このアイデアはユーザーにとってより有益でしょうか、それとも痛みはありますか? (複数のパスワードを使用して入ることができるという考え方)

これから起こりうるセキュリティ上の問題は何か?

ユーザーにとっては価値がありますか?他の思考

を(必要な余分なコード化と構造を無視して)...

は、パスワードシステムをお忘れ:

私はすでに、ユーザーのパスワードをリセット含まない「パスワードを忘れた」システムを導入したがいますシンプルなのは一時的なバックドアのように機能する一時的なパスワードを提供するので、ユーザーはパスワードを変更することができます。私はこのシステムで同じことを行う可能性が最も高いですが、ユーザーが永久パスワードを追加すると、他のものやそれに類似するものが無効になります...再びユーザーフレンドリーな方法でセットアップする必要があります

出典

2010-12-03 Ruttyj

+2

パブリックアクセスシステムの場合は、OpenIDのようなものを使用してパスワードを完全に削除するだけです。 – cdhowie

答えて

3

個人的に、私はそれが混乱していることがわかります。

ユーザーにとってより有益でしょうか?可能です。私はそれがコンピュータの多くが文盲を混乱させるかもしれないと思う。

セキュリティ上の問題が発生する可能性はありますか?実際には、誰かがユーザーのアカウントにアクセスする機会を増やすこと以外にはありません。

必要な「パスワードを忘れた」システムの実装についてどう思いますか?コンピュータから生成された1つのパスワードにリセットするだけですか?

出典

2010-12-03 22:54:40 simshaun

+0

ユーザがパスワードを忘れたときに、新たに生成されたパスワードを送信しないということは、パスワードがシステムのどこかにある不正なテキストで保存されていることを意味します。 – neo2862

+0

いいえ私はすでにユーザーパスワードをリセットすることを伴わない「パスワードを忘れた」システムを実装していますが、シンプルなパスワードは一時的なバックドアのように働き、ユーザーはパスワードを変更することができます。私はこのシステムで同じことを行う可能性が最も高いですが、一度ユーザーがパスワードを追加すると、他のものやそれに似たものが無効になります...もう一度、ユーザーフレンドリーな方法で設定する必要があります。 – Ruttyj

+0

+1。私は "パスワードを忘れた"ことについても考えていました...私は、そのようなシステムは、Webの仕組み(現在)に慣れている人にとっては本当に混乱していると思います。 – jwueller

0

まず、私はあなたの質問をwikiとして投稿することをお勧めします。なぜなら、1つの客観的な答えがないからです。

今、IMHO、複数のパスワードを持つことはお勧めできません。ユーザーがパスワードを忘れた場合、「パスワードをリセットする」ページが必要なので、問題はありません。複数のパスワードを設定すると状況がさらに悪化する可能性があります。ユーザーは設定されているすべてのパスワードを忘れてしまいます(または少なくとも自分のウェブサイトのパスワードリストに追加したパスワードを忘れてしまいます)。

セキュリティにも多少の被害が出る可能性があります。

ビルドしたいシステムは、他のウェブサイトで現在使用しているシステムと大きく異なります。それはつまり:

    それはユーザーのために混乱を招くことになる
  • パスワードのチェック、異なるデータベーススキーマ、パスワード管理のための特別なページ、などのために別のシステムを必要とし、構築し、管理することが困難になります。

出典

2010-12-03 22:58:12

+0

私はCWが削除されたと思う(私はどこかでそれを読むが、そのページを見つけることができない...) – jwueller

2

これは、人々が既存のパスワードを再利用することを奨励していると思います。これは悪い考えです。彼らは自分の銀行口座にパスワードを入れることを検討すべきではありません。ちょうど彼らがあなたのサイトに特化したパスワードを忘れてしまった場合に備えて。

代替システムとしてOpenIDを使用することを検討してください。これは、一意の秘密のパスワードに値するほど重要ではないと考えられるウェブサイトのグループに対して、単一のパスワードを使用することを可能にします。そしてその上に、パスワードが何であるかを伝える必要はありません。

出典

2010-12-03 23:35:57 Matthew

+0

私も私のシステムに組み込まれている... =) – Ruttyj

1

あなたはブルートフォース攻撃によってサイトが侵害される可能性を増やしています。

認証の主題は、ユーザー名+パスワードの非常に限定的な概念を超えて(感謝して)成長しています。多くの異なるアカウントを追跡しようとするのはPITAです。あなたのシステムの制約に応じて、専用アカウントの代わりにopenidを使うことをお勧めします。

出典

2010-12-03 23:48:52 symcbean

+0

さらに、別のサイトが侵害された結果、サイトが侵害される可能性があります。基本的には、複数のサイトで同じパスワードを使用するようにユーザーを促しているため、使用する他のサイトのいずれかが侵害された場合、脆弱になります。 – Slartibartfast

0

一部のサイトでは、複数のopenidアカウントを1つの(メイン)アカウントにリンクしています。また、あなたのopenidプロバイダの1つがダウンしている場合は、サイトにログインできません。ユーザがあなたのシステムにopenidでログインすると、一意のIDを与えます。その後、別のopenidをその一意のIDにリンクするオプションをユーザに与えます。 はデータベースにパスワードを保存するのではなく、システムが安全であるようにopenid URLのみを保存します。

出典

2010-12-04 01:50:10 Alfred

関連する問題

 関連する問題