Как защитить такой функционал?

Question

[Nwton]

Для общего развития решил сделать простую систему юзеров, интересует пара вопросов.

При регистрации пользователь не может вписать свой пароль, сайт предлагает готовый. Это сделано для ускорения процесса регистрации. С большой долей вероятности, пользователь не станет его сразу записывать и не сможет запомнить. Поэтому, я хочу, что бы в настройках аккаунта можно было увидеть текущий пароль.

В каком виде стоит передавать и хранить пароль? А также, какие методы защиты необходимо ввести?

Comments

[Wexter]

Хранить пароль в открытом виде так себе идея с точки зрения безопасности. Уж лучше пусть пользователь тыкает на восстановление пароля, либо при входе обязать поставить свой пароль, хотя тут же возникает вопрос, а почему-бы не дать ему это сделать на этапе регистрации, уж ввод пароля в два поля не особо замедлил регистрацию.

[15432]

Человек отвлекся, отошёл от компа - и любой сможет увидеть пароль в настройках? Совсем не круто. Не сохранять куки тоже не выйдет, тогда человек сразу же забудет пароль и больше не зайдет.

[cache0]

лучше так: юзер вводит майл -> переходит по ссылке присланной ему на мыло -> авторизуется без всякого пароля - только по тому что перешёл по секретной ссылке -> уничтожаем ссылку для авторизации в базе -> напоминаем пользователю, что он должен поставить пароль, если пароль не поставлен - следующий заход только сбросом через мыло.

[ТыжСисАдмин]

Не храните пароль в открытом виде, не может запомнить? Ну что-же, восстановление в помощь.
Я вообще на большинство форумов захожу через восстановление :)

Answer 1

[АртемЪ]

Поэтому, я хочу, что бы в настройках аккаунта можно было увидеть текущий пароль.

Ни одна нормальная система пароль не хранит вообще, а раз вы его не храните, то соответственно и показать не сможете.
Пароль по идее должен хранится только в голове у пользователя и более нигде.
У вас его точно не должно быть.

При регистрации пользователь не может вписать свой пароль, сайт предлагает готовый. Это сделано для ускорения процесса регистрации.

Это ненормально. Для пользователя это неудобно и раздражает, когда пароль придумывают за него.
Хотите помочь пользователю и ускорить процесс - предложите пользователю сгенерированный пароль, но так, чтобы у него осталась возможность его поменять.

Comments

[Nwton]

Согласен. Хранить пароль в открытом виде в бд - это полное безумие. Про возможность ввести свой пасс вместо уже готового тоже спасибо. Стоит ввести такую возможность.

Answer 2

[other_letter]

Забейте. Дайте возможность делать что угодно, в том числе без пароля. Соглашение всё спишет. Вы ж не банк, верно?
Вообще раздражают сайты типа лайфхаков (то есть не несущие потенциальных расходов на них), где надо обязательно и телефон оставить и пароль не мене 8 символов, да регистр разный, да спецсимволы...
Дайте возможность делать пароль 123 и всё.

Comments

[Nwton]

123? Я бы с удовольствием дал пользователям такую возможность, но ведь такие пароли подбираются за несколько запросов. Как с этим быть?

[other_letter]

Nwton: никак. Это проблема пользователя. Вашим продуктом должны пользоваться, а если процесс регистрации и входа муторный, то при наличии альтернатив я, к примеру, свалю.

[Nwton]

other_letter: ввести один лишь логин это муторный процесс? Не думаю.

[other_letter]

Nwton: ОК. Какую цель выполняет система?

[Nwton]

other_letter: система регистрации? Как всегда, целью является идентификация пользователей и учет их действий на сайте. Пока остановился на том, что юзер будет вводить меил и пасс (если не устроит предложенный). Меил можно будет подтвердить позже и по нему же сбросить пасс. Сам пасс будет шифроваться