Cette question a été posée aujourd'hui lors d'une discussion avec un collègue sur la page "créer un compte" du site Web sur lequel nous travaillons.
L'opinion de mon collègue est que nous devrions rendre l'enregistrement aussi rapide et transparent que possible, donc nous devons simplement demander à l'utilisateur son e-mail et nous occuper du reste.
Je suis d'accord avec l'intention, mais j'ai quelques inquiétudes à ce sujet:
- Puisque nous générons le mot de passe, nous avons la responsabilité de nous assurer que le mot de passe est suffisamment solide
- D'après mon expérience, lorsqu'ils sont confrontés à un mot de passe inintelligible, les utilisateurs sont susceptibles de l'écrire sur un post
- Les utilisateurs qui n'écrivent pas le mot de passe l'oublieront probablement. Ce qui signifie qu'ils devront demander un nouveau mot de passe régulièrement, et ce n'est amusant pour personne
Cependant, compte tenu de la qualité générale des mots de passe créés par les utilisateurs et du fait que trop de gens ont tendance à utiliser le même mot de passe pour tout (`` frissons ''), je peux voir comment il serait logique de générer un mot de passe fort pour eux.
Je me sens encore déchiré. Nous travaillons sur un site marchand où l'utilisateur a la possibilité d'enregistrer les détails de sa carte de crédit, il est donc très important que nous utilisions l'approche la plus sécurisée.
Réponses:
L'avantage de l'approche par courrier électronique est que vous vous assurez de cette manière que l'utilisateur a fourni un compte de messagerie valide qu'il contrôle.
Cependant, le canal de messagerie est notoirement peu sûr. Cela signifie que le mot de passe pourrait être intercepté. Cette approche ne doit donc être envisagée que si le mot de passe généré n'est utilisé qu'une seule fois, lors de la première connexion, et s'il est garanti que l'utilisateur doit le modifier.
L'approche directe est plus sécurisée, dans le sens où une connexion tls / ssl à votre site web est beaucoup plus difficile à intercepter sans être remarquée.
la source