it-swarm.com.de

Vergessene Passwörter - Gibt es einen echten Vorteil, wenn Sie bei der Anmeldung nach einprägsamen Passworthinweisen fragen?

Auf mehreren Anmeldeformularen werden Felder wie "Wählen Sie Ihre denkwürdige Passwortfrage" angezeigt. Ist das heutzutage wirklich vorteilhaft? Sicherlich ist es eine sicherere Methode, wenn jemand sein Passwort vergisst, einen Dienst zu erstellen, der ihm per E-Mail einen sicheren Link zum Zurücksetzen seines Passworts sendet. Was ist auch, wenn sie im Moment, in dem sie aufgefordert werden, sie in ein Formular einzugeben, nicht an eine denkwürdige Information denken können? Je weniger Felder auf einem Anmeldeformular vorhanden sind, desto besser.

Ich kann mir nur vorstellen, dass eine einprägsame Passwortfrage hilfreich sein könnte, wenn Sie sich für ein tatsächliches E-Mail-Konto anmelden. weil Sie keine Passworterinnerung/-reset an eine Adresse senden können, wenn diese Person nicht auf ihre E-Mail zugreifen kann.

Ist dies ein veraltetes Konzept oder bietet es echte Nutzervorteile, an die ich derzeit nicht denken kann? (z. B. dem Benutzer das Erscheinungsbild von Sicherheit zu geben - damit er sich sicher fühlt, auch wenn er tatsächlich keine echte Sicherheit bietet).

7
JonW

(Nicht wirklich eine UX-Frage, imo.)

Aber hier ist, was Bruce Schneier über geheime Fragen zu sagen hat (die aus den gleichen Gründen schlecht sind, aus denen Hinweise schlecht sind). Sagte Nuff.

7
Assaf Lavie

Es gibt keinen guten Grund, dies für einen Dienst zu verwenden, bei dem Sie die E-Mail-Adresse einer Person kennen . Manchmal wird es verwendet, wenn jemand den Zugriff auf seine E-Mail-Adresse verliert (Jobwechsel usw.), aber selbst dann würde ich die Wahl in Frage stellen.

Viele Programme erfordern kompliziert zu merkende Passwörter, da sie falsch verstanden werden (wie 3xzA @ |\e), sodass die Benutzer sie häufig vergessen. Dies geschieht normalerweise, wenn Sie überhaupt keine E-Mail-Adresse einer Person haben (normalerweise für ein E-Mail-Konto). Dies führt zu vielen Supportanrufen. Um diese Anrufe zu reduzieren, haben Unternehmen Methoden hinzugefügt, um sie zu umgehen.

Aber warum überhaupt ein sicheres Passwort haben, wenn Sie dies mit einer weniger sicheren Frage umgehen können ? Sicherlich wäre die bessere Option, jemandem zu erlauben, eine Passphrase anstelle eines Passworts zu verwenden, um das System überhaupt zu sichern.

Ich beziehe mich auf diesen Cartoon von XKCD , der es besser sagt, als ich es jemals könnte. enter image description here

8
JohnGB

Es gibt einige gute Ressourcen zur Benutzerfreundlichkeit von Passwörtern.

Sitepoint hat eine große Liste von Punkten, wenn es um ein Passwortsystem geht, vor allem:

Es scheint oft eine gute Idee zu sein, Benutzern zu erlauben, einen Hinweis einzufügen, der ihnen hilft, ihr Passwort abzurufen. Dies kann jedoch etwas gefährlich sein: Benutzer geben möglicherweise einfach ihr Kennwort (oder eine Ableitung davon) als Hinweis ein oder verwenden einen Hinweis, der das Erraten ihres Kennworts allzu einfach macht. Wenn Sie Kennworthinweise verwenden möchten, sollten Sie die Benutzer vor der Anzeige nach zusätzlichen Informationen fragen, z. B. nach ihrer Postleitzahl oder ihrem Geburtsdatum.

Hinweise und Sicherheitsfragen sind oft zu offensichtlich (Passwort: Babys Hinweis: Babys) und wenn Sie eine oder mehrere Sicherheitsfragen haben, hat ein Benutzer möglicherweise keine gute Antwort, oder die Antworten könnten zu offensichtlich sein. Fragen Sie mich nach dem Mädchennamen meiner Mutter? Jeder, der mich kennt, kennt meine Antwort! Fragen Sie meine Lieblingspizza in Brooklyn? Ähm ... was habe ich für diese Antwort noch einmal ausgewählt?

Sitepoint sagt dies auch über das Zurücksetzen von Passwörtern:

Es ist eine gute Idee, Benutzern das Zurücksetzen von Kennwörtern selbst zu ermöglichen. Auf diese Weise müssen Sie nicht eingreifen. In der Regel wird dazu eine E-Mail zum Zurücksetzen des Kennworts an das registrierte E-Mail-Konto gesendet. Der Benutzer klickt auf einen Link in der E-Mail, wird zu Ihrer Site geleitet und aufgefordert, ein neues Passwort festzulegen.

Es ist schwierig, eine angenehmere Erfahrung zu erzielen, als auf einen Link zu klicken, um ein Passwort zurückzusetzen . Kein Auswendiglernen, kein Raten, alles was ich brauche ist Zugriff auf meine E-Mail. Dadurch wird auch vermieden, dass ein Kennwort per E-Mail gesendet wird (was Sitepoint nicht empfiehlt). Dies kann problematisch sein, wenn der Benutzer dieses Kennwort nie ändert und jemand die E-Mail abfängt.

Vielleicht außerhalb Ihres Rahmens, aber viele Leute halten das gesamte System des Zurücksetzens von Passwörtern für allgemeine Konten für eine schlechte Erfahrung. Jonathan Duhig hat einen großartigen Blog-Beitrag, in dem erklärt wird, wie das "Passwort" -Problem vollständig beseitigt werden kann. OpenIDs. Dinge wie Facebook Connect bedeuten, dass Ihr Benutzer niemals sein Passwort oder seinen Benutzernamen oder einen Hinweis oder was auch immer vergessen wird - seine Sicherheit wird vereinfacht und Sie haben eine Nummer abgerissen von Barrieren bei der Anmeldung zum Booten. Dies ist die ideale Erfahrung, wenn ein Benutzer bereit ist, seine OpenID mit Ihrer Site zu verbinden.

Es ist auch wichtig zu beachten, dass das Anfordern eines Kennworthinweises oder einer Sicherheitsfrage ein zusätzlicher Schritt bei der Anmeldung ist. Das Zurücksetzen von E-Mail-Kennwörtern betrifft nur Benutzer, die ihre Kennwörter benötigen Zurücksetzen, Fragen in Ihrem Anmeldeformular stellen wirkt sich auf alle aus.

4
Ben Brocka

Kümmere dich nicht um sie. Es verlangt wirklich nicht viel, die Leute dazu zu bringen, ihren Posteingang zu überprüfen.

Haben Sie einfach ein E-Mail-Adressübermittlungsfeld für ein vergessenes Passwort, das eine E-Mail an die Adresse auslöst, wenn sie im System gefunden wird, und einen Link mit Anweisungen zum Zurücksetzen sendet. Geben Sie keine Rückmeldung zum Formular, wenn sich die E-Mail nicht im System befand. Dadurch können Hacker/Bots feststellen, ob sich eine bestimmte E-Mail-Adresse im System befindet.

Ziemlich normal. Verärgern Sie die Leute nicht und lassen Sie Ihr System und Ihre Kundenkonten nicht anfälliger für Hacking.

Wenn sich die Leute keine Passwörter merken können, weil sie befürchten, dass dies nicht Ihr Problem ist, setzen sie sie. Habe nur keine verrückten Mindestanforderungen an das Passwort - das die Leute mehr als alles andere verärgert - lass es ziemlich offen (zB: mehr als 5 Zeichen, es sei denn, du bist eine Bank). Auf diese Weise wählen sie eher etwas Denkwürdiges aus, als sich an der Stelle etwas ausdenken zu müssen, an das sie sich nicht erinnern werden. Wenn sie "Passwort" verwenden und gehackt werden - wieder ihre eigene Schuld.

Wenn Ihr Produkt dies kann, verwenden Sie einfach Folgendes: http://code.google.com/apis/identitytoolkit/v1/learnmore.html

Vereinfacht das gesamte Problem weiter, indem allgemeine Anmelde-APIs verwendet werden

1
Jon Darke

Es gibt ein Szenario, in dem eine Kennwortfrage UX helfen würde: Es ist nicht so einfach, einen Denial-of-Service-Angriff auf einen bestimmten Benutzer durchzuführen. Wenn es möglich ist, ein Passwort ohne "Geheimnis" zurückzusetzen, könnte ein Bot Ihr Passwort jede Sekunde zurücksetzen - Sie hätten keine Chance, sich anzumelden.

In den meisten Anwendungen ist Vertraulichkeit und Integrität jedoch weitaus wichtiger als Verfügbarkeit.

0
giraff