О «Забытом пароле» замолвите слово.

    Всегда возникает задача о том как пользователю напомнить о забытом им пароле. Вариантов масса, простой смены пароля роботом до сохранения контрольного вопроса. Так вот хотелось бы спросить у людей — а какой вам способ больше всего нравится?


    Мне категорически не нравятся варианты с контрольным вопросом, поэтому перечислю варианты напоминаний без них:

    1 — Пользователь вводит свой e-mail и ему отправляется письмо с новым паролем
    2 — Пользователь вводит свой e-mail и ему отправляется письмо с уникальным УРЛ где он может просто ввести новый пароль
    3 — Пользователь вводит свой e-mail и ему отправляется письмо с уникальным УРЛ пойдя по которому сгенерится новый пароль и ему пришлётся письмо с новым паролем. (то есть некий апгрейд первого варианта)
    4 — Пользователь вводит свой e-mail и ему отправляется письмо с новым паролем, но с текстом, что он активируется если он пойдёт по ссылке.

    Вот вобщем-то что мне пришло в голову. Если есть свои мысли — буду очень рад их выслушать.
    Реклама
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее

    Комментарии 30

      0
      Дело в том, что всё выше изложенное - морально устарело или на последней стадии.

      во-первых: передавать credentials а plain/text - глупо.
      все остальные способы гибриды первого.

      В настоящий момент существует две кое-как продвинутые и децентрализованые технологии OpenID & Microsoft InfoCard™.

      Отличий у них масса и в таком же количестве как плюсов и минусов - можно регилиозные войны начинать разводить подобные тем, что лучше Linux или Windows.

      Использование выше указанные технологий авторизации и аутентификации - даёт возможность отдохнуть пользователю от 10.000 логинов и 99.999 паролей на каждый ресурс который он посещал.

      Ну, а в самом простом случае - можно просто использовать обычные SSL сертификаты. Потерял? Запросто - вот тебе твой сертификат и не теряй его более. Востанавливать можно как угодно хоть от фазы Луны. И даёт преимужество в том, что любая информация оставленная пользователем - может быть использована только им сами.

      Вообщем продолжать не будут - это из разряди Linux vs. Windows. )
        0
        К сожалению не очень хорошо знаю теорию вопроса с OpenID, но примерно представляю себе, как это работает. Например, я могу авторизоваться где-то с помощью моей учетной записи на том же ЖЖ не вводя никаких паролей. Примерно так OpenID и работает, да?

        А если да, то возникает вопрос: как будет происходить восстановление пароля от ЖЖ, если я его потерял? Не вернемся ли мы к нашим баранам?
          0
          OpenID - технология аутентификации, но никак не авторизации.

          И я вообще побоялся говорить, что технология эта очень распространена на данный момент и её стоит везде использовать. Крупные компании только собираются её использовать.

          Вопрос доверия она так же не снимает. Фактически, вам (и сервисам, которые вы используете) нужно полностью доверять единственному серверу идентификации.

          Это много лучше, чем доверять отдельно mail.ru почту, а отдельно ЖЖ - свой аккаунт?
          0
          ваще пора от паролей отходить
            0
            Есть реальные альтернативы?
              0
              реальных пока не видно :)
                  0
                  Интересно. Только вот сложновато наверное будет запомнить 10 иконок. Мне, я думаю, очень сложно придётся.
                    0
                    Нет-нет, достаточно запомнить 3-4 иконки!
                    Правда о практическом применении данной системы я пока не слышал.
                    Вот посмотреть профиль DorBer обещает.
                      0
                      Ну как же 3-4, когда 10. Там так и написано. По крайней мере в русском варианте:

                      Цитата:
                      При создании пароля пользователю предлагается выбрать и запомнить десять иконок примерно из 200-400 возможных. Иконки достаточно интересные и яркие, заметим.
                        0
                        Да, я не прав.
                        Прошу прощения.
                    0
                    Не вижу принципиальной разницы.Все равно что запоминать,буквы или картинкию
                      0
                      Это конечно.
                      Но вы посмотрите, что происходит с картинками после запоминания, при аутентификации.
                0
                А если пользователь забыл от email-а?
                  0
                  Ну тогда по одной из вышеприведённых схем надо восстановить пароль сначала от почты. Затем задача сводится к предыдущей.
                    0
                    А если я не помню какой именно из моих адресов (все рабочие) я использовал при регистрации?
                      0
                      Придется их перебирать :)
                        0
                        У меня есть адреса которыми я уже активно не пользуюсь и не помню использовал ли я их при регистрации. По этим адресам, на всякий случай, работает автоматическая сборка на центральных ящиках. Так мне что все 40 штук проверять?
                          0
                          В таком случае не помешала бы возможность указывать либо почтовый адрес, либо логин.
                            0
                            Приличные сервисы предлагают три варианта восстановления пароля:

                            • По вводу email

                            • По вводу логина

                            • По вводу контрольного ответа

                            Есть ещё вариант когда администрация сервера работает с пользователем индивидуально. Хорошо работает когда администратор и пользователь знают друг друга.
                        0
                        Если пользователь регится, а потом все напрочь забывает, то пусть регится заново. Как правило проблема именно в том, что посетитель регистрируется и не запоминает данные или вообще вводит абы что лишь бы попасть на ресурс. Такие регистрации на совести пользователей.
                        Из описанного нравится 2 пункт. Пароль не дело в письме высылать, а вот адрес для смены - куда не шло. Хотя этого мало. На мой взгляд к полю email должно быть еще одно поле на выбор. И точно не логин.
                          +1
                          Сайт для пользователя, а не пользователь для сайта. Поэтому регистрация и напоминание должны работать так что бы задейсвовать минимум клеток мозга посетителя. Лучше всего если регистрация вообще не требуется, но это пока сложно.
                    0
                    Раз уж общий топик " UI Design and Usability", то второй и четвёртый наиболее дружественны пользователю - пароль не сбросится от чьей-то сторонней деятельности.

                    А что касается графических паролей и OpenID - их разве что вместе использовать. Помнить по десятку иконок или точек на изображении для каждого сайта - эт убиться можно!

                    Так, граждане!
                    Чем не старт-ап - кто в OpenID шарит? ;)
                      0
                      А такая штука как контрольный вопрос уже совсем не обсуждаетс?
                        0
                        +1.

                        На мой взгляд очень разумное решение. По крайней мере у злоумышленика меньше шансов сбросить пароль пользователя.
                        Единственное, что хотелось бы видеть - это описание зачем он нужен, дело в том что не всем понятно какую он играет роль. А в форме регистрации (где эти поля вводит пользователь) обычно никаких коментариев на эту тему никто не пишет.
                          0
                          Если сервис принадлежит вам то ничего не мешает добавить такое описание. Пример можно найти у mail.ru
                            0
                            Это понятно, просто мало у кого вразумительно это написано. Может быть где то далеко в справке и есть, но читают ее единицы.
                              +1
                              Если при регистрации дана возможность ввести эти данные и есть краткое описание того, что это то неиспользование такой прекрасной возможности есть личная беда пользователя.
                        0
                        Предпочитаю, когда нужно ввести логин, и тогда на почту скидывается пароль, иначе нужно помнить, на какой из одноразовых спамоприёмников была регистрация, а так, скорее всего, через пересылку до основного дойдёт.

                        Предпочитаю, чтобы пароль был в теле письма, чтобы потом можно было эти регистрационные данные найти. Желательно вместе с логином, и чтобы пароль не новый, а старый.

                        Да, это страшно несекьюрно всё, но необходимость вспомнить пароль возникает у меня только в таких местах, где на секьюрити мне совершенно наплевать, и эта логинная форма - только назойливое препятствие, отделяющее меня от пользования ресурсом.
                          0
                          не все сайты/движки хранят пароли в чистом виде чтобы их можно было прислать - хранят хэши паролей, пароли эти вообщем-то администрации и не нужны, но вот зато инсайдеры базу не сопрут - это по-моему более прогрессивный вариант

                          а если пришлют новый пароль, то переделывать его потом на свой несколько муторно, так что для меня лучшим вариантом является высыл на емейл уникального урла где я могу поменять пароль

                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                        Самое читаемое