我正在寻求创建我能想到的最灵活的用户登录系统,并正在寻找一些想法的反馈。 (系统目前还有一个OpenID集成选项)
我正在修改我的一个用户登录系统,这个概念刚刚打我...
很多人都难以记住单个密码,我认识的大多数人都有一些密码,他们在网站之间使用这些密码只是为了让他们记住这些密码。
如果可以以用户友好的方式实现,那么允许用户设置多个密码(可以限制,如果用户输入任何密码将被授予通过)是一个好主意吗?当然,用户可以选择坚持使用一个密码,而不必担心该选项......
显然,更多允许密码的人更有可能猜到但只是非常轻微......
这个想法会对用户更有利,还是会让人感到痛苦? (能够使用多个密码进入的想法)
可能会出现哪些安全问题?
对用户来说是否值得? (忽略所需的额外编码和结构)
任何其他想法......
忘记密码系统:
我已经实施了一个“忘记密码”系统,该系统不涉及重置用户密码,但简单提供临时密码,就像临时后门一样,以便用户可以进入更改密码。我很可能会为这个系统做同样的事情,但是一旦用户添加了一个永久性密码,它就会禁用其他类似的东西或类似的东西......再一次,它必须以用户友好的方式设置
答案 0 :(得分:3)
就个人而言,我会觉得这很令人困惑。
对用户更有利吗?可能。我认为它可能会混淆许多计算机文盲。
是否可能出现安全问题?除了增加某人访问用户帐户的机会外,并非如此。
您将如何实施必要的“忘记密码”系统?只需将它们重置为一个计算机生成的密码?
答案 1 :(得分:2)
我认为这鼓励人们重复使用现有密码,这是一个坏主意。他们甚至不应该考虑将密码输入他们的银行帐户,以防万一他们忘记了他们专门用于您网站的密码。
考虑使用OpenID作为替代系统。它允许人们为他们认为不足以获得唯一密码的任何网站组使用单个密码。最重要的是,他们永远不必告诉你他们的密码是什么。
答案 2 :(得分:1)
你增加了网站遭到蛮力攻击的可能性。
完整的身份验证主题(幸运的是)超越了用户名+密码的限制性概念 - 尝试跟踪许多不同的帐户是PITA。根据系统的限制,我建议将openid视为专用帐户的替代方案。
答案 3 :(得分:0)
首先,我建议将您的问题发布为维基,因为没有单一的客观答案。
现在,恕我直言,拥有多个密码并不是一个好主意。当用户忘记密码时,必须有“重置我的密码”页面,所以这不是问题。拥有多个密码可能会使事情变得更糟:用户将忘记每个配置的密码(或者至少忘记她在网站上添加到密码列表中的密码),在这种情况下重置过程会更加混乱。
安全性也可能受到影响。
最后但并非最不重要的一点是,您要构建的系统与我们目前在其他网站上使用的系统有很大不同。这意味着:
答案 4 :(得分:0)
有些网站会将多个openid帐户与一个(主)帐户相关联。另外,如果您的某个openid提供程序出现故障,则无法登录该站点。当用户使用openid登录系统时,为其提供唯一ID。之后,为用户提供将另一个openid链接到该唯一ID的选项。 不要在您的数据库中存储密码,但只能存储openid网址,以确保您的系统安全。