web-dev-qa-db-fra.com

Retarder la configuration du mot de passe après l'inscription est-il une bonne chose?

Afin de réduire les frictions d'inscription sur notre site Web, nous prévoyons de retarder la nécessité pour les utilisateurs de définir leur mot de passe à une étape ultérieure en leur demandant uniquement leur adresse e-mail au moment où ils rejoignent le site Web.

Le flux de travail serait alors quelque chose comme ceci:

  1. Un utilisateur s'inscrit sur le site Web en entrant son adresse e-mail uniquement
  2. Nous lui créons un mot de passe temporaire dans le backend et utilisons ce mot de passe pour le connecter. L'utilisateur peut ainsi utiliser l'application normalement.
  3. Nous envoyons à l'utilisateur un lien qu'il utilisera pour définir son mot de passe ultérieurement. Cet e-mail sert également de moyen pour confirmer que l'adresse e-mail de l'utilisateur est correcte.

Je ne peux penser à aucun inconvénient de l'utilisation d'un tel flux de travail, mais comme ce n'est pas la norme que nous voyons ailleurs, est-ce que je manque quelque chose?

1
Yannick Blondeau

Bien qu'il soit bon que vous envisagiez de minimiser l'exigence de création et de compte et de connexion de l'utilisateur, comme le mentionne Harshal, la question initiale doit être de savoir ce que le fait de donner un accès authentifié permet à cet utilisateur de faire et est-ce que quelqu'un fournissant de faux détails aurait alors accès à une zone du site qui pourrait éliminer la possibilité d'actions malveillantes. N'oubliez pas que chaque point du contenu fourni par l'utilisateur présente un risque pour la sécurité. (Il s'agit maintenant d'un autre domaine de Stack Exchange.)

Cependant, je suggère que vous deviez au moins confirmer l'adresse e-mail, envoyer un e-mail à jeton à durée limitée avec un lien d'accès direct, puis dans le cadre de la visite actuelle, demander à l'utilisateur de modifier son mot de passe. Je déconseille d'envoyer cette demande par e-mail car cela simulerait le phishing et ne devrait pas être encouragé ou normalisé.

S'il est nécessaire de remplir plus de données utilisateur, vous pouvez envoyer les demandes des utilisateurs à cet effet dans un e-mail après les visites initiales ou suivantes, mais n'envoyez pas de demandes de connexion comme ci-dessus.

Le processus réel que vous choisissez doit être mis en correspondance avec les parcours/histoires d'utilisateurs attendus qui montrent le cycle de vie complet des utilisateurs et l'expérience en ligne.

2
Jools