Я стремлюсь создать самую гибкую систему входа в систему, о которой я могу думать, и искал некоторые идеи. (в настоящее время в системе также есть опция интеграции OpenID)
Я был в процессе пересмотра одной из моих систем входа в систему, и концепция просто ударила меня …
У всех людей есть проблемы с запоминанием единого пароля, большинство людей, которых я знаю, имеют несколько паролей, которые они используют с сайта на сайт, чтобы они могли их запомнить.
Будет ли позволять пользователям устанавливать несколько паролей (может быть ограничено, если пользователь вводит какой-либо из них, будет предоставлен проезд) было бы хорошей идеей, если бы можно было реализовать в удобной для пользователя форме? Конечно, пользователь может просто выбрать один пароль и не беспокоиться об этом вообще.
Очевидно, что более разрешенные пароли более вероятны, чем можно предположить, но только очень немного …
Будет ли эта идея более полезной для пользователей или это просто боль? (идея иметь возможность использовать более одного пароля для входа)
Какие возможные проблемы безопасности могут возникнуть из-за этого?
Это было бы полезно для пользователя? (игнорируя требуемое дополнительное кодирование и структурирование)
любые другие мысли …
Забыли пароль:
Я уже внедрил систему «Забыли пароль», которая не включает сброс пароля пользователя, но простой предоставляет временный пароль, который действует как временная задняя дверь, чтобы пользователь мог войти, чтобы сменить пароль. Я, скорее всего, сделаю то же самое для этой системы, но как только пользователь добавит постоянный пароль, он отключит другие или что-то подобное этому … снова его нужно будет настроить в удобной для пользователя форме
Лично я смущаюсь.
Будет ли это более выгодно для пользователей? Возможно. Я думаю, что это может запутать многих неграмотных компьютеров.
Возникают ли проблемы безопасности? На самом деле это не значит, что у кого-то есть шанс получить доступ к учетной записи пользователя.
Как бы вы могли реализовать необходимую систему «Забыли пароль»? Просто сбросьте их на один сгенерированный компьютером пароль?
Я думаю, что это побуждает людей повторно использовать существующие пароли, что является плохой идеей. Они не должны даже думать о том, чтобы ввести пароль на свой банковский счет, на случай, если они забудут тот, который они использовали специально для вашего сайта.
Рассмотрите возможность использования OpenID в качестве альтернативной системы. Это позволяет людям использовать один пароль для любой группы веб-сайтов, которые они считают незначительными, чтобы заслужить уникальный секретный пароль. И вдобавок к этому, они никогда не должны сообщать вам, что их пароль.
Вы увеличиваете вероятность того, что сайт будет скомпрометирован атакой грубой силы.
Весь предмет аутентификации (к счастью) выходит за рамки очень ограничительного понятия имени пользователя + пароля – попытка отслеживать множество разных учетных записей – это PITA. В зависимости от ограничений вашей системы я бы рекомендовал рассматривать openid как альтернативу выделенной учетной записи.
Во-первых, я предлагаю опубликовать ваш вопрос как вики, так как нет единого объективного ответа.
Теперь, IMHO, неплохо иметь несколько паролей. Когда пользователь забывает пароль, должна быть страница «сбросить мой пароль», поэтому это не проблема. Наличие нескольких паролей может еще больше ухудшить ситуацию: пользователь забудет каждый настроенный пароль (или, по крайней мере, забудет, какие пароли она добавила в список паролей на вашем сайте), и процедура сброса будет более запутанной в этом случае.
Безопасность также может пострадать.
И последнее, но не менее важное: система, которую вы хотите построить, сильно отличается от систем, которые мы в настоящее время используем на других веб-сайтах. Это означает, что:
Некоторые сайты связывают несколько учетных записей openid с одной (основной) учетной записью. Кроме того, если один из ваших провайдеров openid не работает, вы не можете войти на сайт. Когда пользователь входит в вашу систему с openid, он дает уникальный идентификатор. После этого дайте пользователю возможность связать другой openid с этим уникальным идентификатором. НЕ храните пароли в своей базе данных, а только открытые URL-адреса, чтобы ваша система была в безопасности.