问生成用户密码而不是请求密码？

EN

为用户生成密码意味着您将获得好的密码。然而，安全性是一件包罗万象的事情；你还需要用户记住密码，而不是不安全地存储它们(传统的键盘下的贴纸)，而且一般来说，你需要用户的合作。没有什么比把用户变成敌人更糟糕的了。

因此，一件好事是提供一个可选的密码生成器:用户可以点击的按钮，以获得一个强的，随机生成的密码，他们可以使用。但是不要强制执行它:否则，用户会变得充满敌意，而敌对用户在处理安全特性时非常有创造性。

在生成用户密码时，有一些需要注意的问题：

• 别做得太过分。我们知道您的密码生成器可以生成带有37个随机符号的密码。但你真的需要用户接受密码。
• 让用户键入密码。密码是用手指记住的。如果用户只需使用按钮选择密码，或复制粘贴密码，那么他将在注册时输入密码，而不会输入密码，90秒后，他将完全忘记密码。忘记密码是额外的服务台时间。防止复制和粘贴意味着密码必须显示在屏幕上的图片集合，而不是可选择的文本。
• 小心肩部冲浪。如果用户看到生成的密码，则显示在屏幕上的密码。在许多情况下(特别是与工作相关的环境)，用户实际上无法阻止那些眼睛鬼鬼祟祟的同事偶尔偷看。这就是为什么密码输入字段被模糊的原因，同样的原因也适用于这里。

我认为用至少50-100名参与者的测试环境测试您的密码策略可能会给出一些答案。它始终不是关于安全，而是人们的行为，他们如何回应变化。下面是关于人们如何解释不安全密码的调查

• 更容易记住
• 我们的帐户太多了
• 相同类别/类别的网站的相同密码
• 这是一个不重要的网站
• 否则太难了
• 对所有网站使用一个密码

我认为考虑谁将使用这个网站是很重要的。儿童和老年人可能无法利用这种安全措施。虽然专注于IT专业人员的站点可能是更改与密码相关的(In)安全范例的完美场所。