我在SO上阅读了其他密码恢复问题,似乎大多数人都考虑发送一个只能使用一次的密码恢复链接,并在几天后过期才能最安全。
现在我的问题,(我知道这是主观的,但我正在寻找您可能从用户那里收到的输入)
这对用户来说是否也相当舒适?用户指的是你的祖母而不是你的同事。
答案 0 :(得分:2)
作为用户,我喜欢当我可以选择我选择的新密码,然后向我发送激活邮件,提供可点击的链接以使新密码生效。
我不喜欢向我发送新的一次性密码,让我在我的个人资料中登录并编辑它。
但最重要的是,要进行OpenID登录,所以我根本不需要保留任何密码。
答案 1 :(得分:1)
什么比点击激活链接并输入新密码更简单?
答案 2 :(得分:0)
您的网站在访问控制,可用性或安全性方面的重点是什么?
如果它的可用性,那么可能以明文形式存储密码并允许它们在请求时发送到注册的电子邮件地址就足够了,并且可能比更安全的替代方案更有用。
如果安全性是答案,则陷门编码和密码重置是更好的选择。
答案 3 :(得分:0)
根据经验,我建议如下:
虽然从纯粹的可用性角度来看这可能并不理想(在一个理想的世界中,你首先不必拥有密码,让我们面对它),然而它确实试图确保你正在进行合法密码重置。
或者(或者实际上与上述相结合),您可以允许用户存储也出现在第一个出站电子邮件中的简单密码提醒文本字符串。 (如果他们在这个阶段意识到密码是什么,他们可以简单地输入密码而不必执行重置。)但我不建议在网站上输出密码,因为它可能过于强烈。< / p>
答案 4 :(得分:0)
从可用性的角度来看?如果登录连续三次失败,假设他们已经合法地忘记了密码,请让他们进入并提示更改密码。
我见过的用于低安全性帐户的最佳系统之一是邮件链接。用户无需记住网站URL,用户名或密码。该网站无法了解用户管理密码的任何弱点。