Uproszczenie rejestracji jak to tylko możliwe

pytanie zadane 7 lutego 2020 w Bezpieczeństwo, hacking przez mreo Użytkownik (790 p.)

Witam, obecnie znam najprostszy wzór rejestracji (user, pasword, password, email) i potwierdzenie adresu email.

Niestety istnieją setki serwisów typu 10 minute email a założenie fake maila to chwila roboty.

1. Czy zrezygnowanie z potwierdzenia adresu email lub utworzenie konta z ograniczeniami to dobry pomysl?

2. Zrezygnowanie z hasla i wyslanie po rejestracji wygenerowanego na email, ktore mozna zresetować po zalogowaniu to dobry pomysł? Bądź wysłanie linku na email/logującego gdzie trzeba podać hasło.

Jakie są inne sposoby na bezpieczne uproszczenie systemu rejestracji użytkowników?

5 odpowiedzi

odpowiedź 7 lutego 2020 przez Comandeer Guru (600,810 p.)

Nierobienie systemu rejestracji. Można spróbować pobawić się z WebAuthn po stronie przeglądarki.

komentarz 7 lutego 2020 przez mreo Użytkownik (790 p.)

Wolalbym coś co niektórzy mogą znać, jeśli użyje czegoś niczym webauthn liczba uzytkowników raczej spadnie niż wzrosnie ze względu na to że to nowe rozwiązanie.

Chodzi mi o uproszczenie tradycyjnych metod

komentarz 7 lutego 2020 przez franz Gaduła (4,940 p.)

Rejestracja z wykorzystaniem konta Facebook , google itp.

odpowiedź 7 lutego 2020 przez spamator12 Nałogowiec (28,230 p.)

Kiedys myslalem podobnie jak ty, bo sam chwale sobie strony, na ktorych podajesz login/e-mail passa i wio - juz mozesz hasac bez zadnych potwierdzen, logowan itp.

ALE musisz miec admina w takim wypadku, bo inaczej boty Cie zjedza.

Rozsadne MINIMUM jak na serwis, ktory ma sie "sam zabezpieczac przed tymi no tego botomi Panie" to login w formie majla (mozna przypisac do tego nick, ktory sie bedzie wyswietlal za majla), pass, + captcha i niestety matematyczna nie przejdzie (a sa fajne, szybkie, ale boty to objezdzaja w kilka setnych), wiec trzeba stosowac pytanie (nie uzywaj w odpowiedzi polskich liter!), puzzle (w sensie np obroc przedmiot aby stal jak na ziemi) a na samym koncu jak juz nic inego nie mozesz, to dopiero obrazki od google, ktore sa slabe (dla usera, problematyczne).

Czyli zadne podaj pan dlugos i szerokosc, kolor oczu czy inne jak w krypto przy AML... (to jest paranoja, ze musisz dowod w formie selfie przesylac z rachunkiem...). Bo to strasznie drazni.

Cala reszta to juz indywidualna polityka serwisu, gdzie kluczowa role odgrywa admin - moderator, jezeli to jest czlowiek z lbem na karku a nie kompleksami, to raczej nie bedzie problemow. I jeszcze mala porada, zauwazylem ze jak sa dobrze oplacani to czesc 'kretynow' nagle staje sie 'pracownikami miesiaca', no ale to pewnie nie tylko tutaj tak jest :) Acha no i oczywiscie jak ktos z kasa/systematyczny i cierpliwy sie na Ciebie uwezmie to trzeba zastosowac inne srodki - ale to juz osobny temat. Powodzenia.

Acha mozesz tez udezyc do jakiejs firmy co zajmuje sie typowo uzytecznoscia, chyba wlasnie @comandeer am tam kogos w robocie od tego, zaplac te kilka setek, bedziesz wiedzial co i jak. Z konkretnym raportem i kilkoma podpowiedziami na pewno doprowadzisz wszystko do ladu tak, ze przyzwyczajeni uzytkownicy nie beda sfrustrowani.

odpowiedź 7 lutego 2020 przez JakSky Stary wyjadacz (14,770 p.)

Wyślę, że email, login i hasło to taki zloty środek. Możesz zrezygnować z email, ale kosztem bezpieczeństwa konta. Gdy użytkownik zapomni hasła hasła, albo ktoś ukradnie konto - będzie niemożliwe odzyskanie konta. Dlatego ważne aby wysyłać link do aktywacji konta na adres email(możesz wysyłać taki email po pewnym czasie, aby skrócić czas rejestracji), aby mieć pewność, że dany użytkownik ma dostęp do poczty.

Jest wiele rozwiązań, ale to jest najbardziej klasyczne i bezpieczne. Można też zastąpić nazwę użytkownika(czyli login) nazwą adresu email- ale to kiepskie rozwiązanie patrząc pod kontem bezpieczeństwa.

Jak użytkownik będzie zainteresowany, aby założyć konto to i nawet pięć pół formularza go nie odstraszy.

odpowiedź 7 lutego 2020 przez Tomek Sochacki Ekspert (227,510 p.)

odpowiedź 8 lutego 2020 przez mokrowski Mędrzec (155,460 p.)

Dodaj wymaganie w postaci akceptacji punktu w regulaminie, wysłania wiadomości w widocznym 1 wątku powitalnym (typowe "Dzień dobry...."). W przeciwnym wypadku automat kasuje konto po 2 dniach wraz z wiadomościami od danego usera. Oczywiście przypomnij o tym w skrzynce wiadomości danego konta, z informacją w wiadomości gdzie znaleźć wątek ale bez URL'a (żeby boot nie wywnioskował tego sam). Ma być opis dla człowieka. To w większości przypadków redukuje ilość boot'ów.