1. Accueil
  2. Question et réponse
  3. Quelle est la meilleure façon d'implémenter la récupération de mot de passe dans une perspective d'utilisabilité?

Quelle est la meilleure façon d'implémenter la récupération de mot de passe dans une perspective d'utilisabilité?

2010-08-03 10 views
3

Je lis les autres questions de récupération de mot de passe sur le SO et il semble que la plupart des gens considèrent l'envoi d'un lien de récupération de mot de passe qui peut être utilisé qu'une seule fois et expire au bout de quelques jours pour être le plus sûr.Quelle est la meilleure façon d'implémenter la récupération de mot de passe dans une perspective d'utilisabilité?

Maintenant, ma question, (je sais qu'il est subjective, mais je suis à la recherche d'entrée que vous avez reçu de vos utilisateurs)

Est-ce aussi confortable pour les utilisateurs décemment? et par les utilisateurs, je veux dire votre grand-mère et non votre collègue.

Source

2010-08-03 Sruly

+1

Comment devrions-nous savoir si c'est confortable pour vos utilisateurs? Vous avez probablement suivi cette procédure vous-même plusieurs fois. Est-ce que vous l'avez trouvé assez utilisable? – MvanGeest

+0

La plupart des "vos grands-mères" ont des problèmes avec le courrier électronique en général. Si vous assumez un certain niveau (faible) de connaissances en informatique, oui, c'est plutôt confortable. Et maintenant, la relation à la programmation ...? – Amadan

+1

Les grands-mères préféreraient que vous leur envoyiez une épingle de réinitialisation. – Nix

Répondre

2

En tant qu'utilisateur, j'aime quand je peux choisir un nouveau mot de passe de mon choix, puis recevoir un mail d'activation, en fournissant un lien cliquable pour que le nouveau mot de passe prenne effet.

Je n'aime pas quand un nouveau mot de passe à usage unique est envoyé à moi, me demandant de me connecter et de le modifier dans mon profil. Mais le plus important, cependant, est d'avoir une connexion OpenID, donc je n'ai aucun mot de passe à garder.

Source

2010-08-03 13:55:48 Johan

+0

En dehors de votre mot de passe de connexion OpenID;) Je réalise que vous pouvez cocher l'option "Keep me logged in" mais le mot de passe est toujours là. – Lazarus

+0

@Lazarus Mon fournisseur OpenID m'a laissé m'authentifier en utilisant un certificat client, donc je n'ai pas besoin d'un mot de passe pour ma connexion. C'est, cependant, un peu hors-sujet. :) – Johan

+0

vous avez raison sur le OpenID, mais la plupart des utilisateurs quotidiens avg n'ont pas encore un OpenID (qu'ils connaissent). – Sruly

0

Quel est l'objectif de votre site en matière de contrôle d'accès, la facilité d'utilisation ou de sécurité? Si c'est la convivialité, alors stocker les mots de passe en texte clair et leur permettre d'être envoyés à l'adresse email enregistrée sur demande est suffisant et potentiellement plus utilisable que l'alternative plus sécurisée.

Si la sécurité est la réponse puis le codage et trapdoor réinitialisation du mot de passe est la meilleure option.

Source

2010-08-03 13:57:06 Lazarus

+0

Ma mère a déjà oublié le mot de passe pour son compte webmail. Ils ont fourni un formulaire où elle devait remplir beaucoup de détails personnels afin d'avoir son mot de passe reçu. Elle a rempli les données correctes pour elle-même, et après un examen manuel, elle a reçu une lettre postale avec son mot de passe. Au moins c'était ce qu'elle enseignait, jusqu'à ce qu'elle réalise que ce n'était pas son compte. Elle avait un autre nom d'utilisateur. Quelque chose doit avoir mal tourné dans la revue manuelle. :) – Johan

+0

C'est toujours un risque mais l'approche "email mon mot de passe" dépend au moins de l'adresse e-mail par défaut associée au compte utilisateur, donc votre maman n'aurait pas reçu le mot de passe car elle n'aurait pas entré une autre adresse (postal ou email) pour recevoir le mot de passe. – Lazarus

0

Basé sur l'expérience, je recommande ce qui suit:

  1. L'utilisateur remplit un formulaire « mot de passe oublié » qui les envoie un e-mail.
  2. L'e-mail contient (au minimum) un lien de réinitialisation du mot de passe.
  3. S'ils cliquent sur le lien, ils sont envoyés un nouveau mot de passe généré aléatoirement. (Mélange de majuscules/minuscules alpha et numérique moins 0, o, 1, i, etc., pour des raisons de clarté.)

Bien que cela pourrait ne pas être idéal d'un point de vue purement facilité d'utilisation (dans un monde idéal, vous il ne faudrait pas avoir un mot de passe en premier lieu, avouons-le), il tente cependant de s'assurer que vous effectuez une réinitialisation de mot de passe légitime. Alternativement (ou même conjointement avec ce qui précède), vous pouvez autoriser l'utilisateur à stocker une chaîne de texte de rappel de mot de passe simple qui est également présente dans le premier e-mail sortant. (S'ils réalisent quel est le mot de passe à ce stade, ils peuvent simplement l'entrer plutôt que d'avoir à effectuer une réinitialisation.) Je ne recommanderais cependant pas de le publier sur le site web, car il est susceptible d'être trop fort.

Source

2010-08-03 14:01:02

0

Du point de vue de la facilité d'utilisation? Si une connexion échoue trois fois de suite, supposez qu'ils ont légitimement oublié leur mot de passe, laissez-les de toute façon et demandez un changement de mot de passe.

L'un des meilleurs systèmes que j'ai vu pour les comptes à faible sécurité, est de poster un lien. Pas besoin pour l'utilisateur de se souvenir de l'URL du site, de son nom d'utilisateur ou de son mot de passe. Le site ne connaît pas les faiblesses de l'utilisateur dans la gestion des mots de passe.

Source

2010-08-03 14:15:07

1

Que peut-être plus simple que de cliquer sur un lien d'activation et la saisie d'un nouveau mot de passe?

Source

2010-08-03 14:29:28 codymanix

 Questions connexes

  • Aucun problème connexe^_^