web-dev-qa-db-ja.com

サインアップ後にパスワード設定を遅らせるのは良いことですか?

当社のWebサイトでのサインアップの摩擦を減らすために、ユーザーがWebサイトに参加するときに自分の電子メールアドレスのみを尋ねることにより、ユーザーがパスワードを後のステップに設定する必要を遅らせることを計画しています。

ワークフローは次のようになります。

  1. ユーザーは自分のメールアドレスのみを入力してウェブサイトにサインアップします
  2. バックエンドで彼の一時的なパスワードを作成し、このパスワードを使用してログインします。これにより、ユーザーは通常どおりアプリケーションを使用できます。
  3. ユーザーに後でパスワードを設定するために使用するリンクをメールで送信します。このメールは、ユーザーのメールアドレスが正しいことを確認する手段としても機能します。

私はそのようなワークフローを使用することの欠点を考えることができませんが、それは他の場所で見られる標準ではないので、何か不足していますか?

web-appregistrationonboarding
1
Yannick Blondeau

Harshalが述べているように、ユーザーが作成およびアカウントを作成してログインする要件を最小限に抑えることを検討しているのは良いことですが、最初の質問は、認証されたアクセスを与えることでこのユーザーに何を許可し、偽の詳細を提供する誰かがアクセスできるようにすることです悪意のある行為の機会を高める可能性のあるサイトの領域。ユーザーが提供するコンテンツのあらゆる点がセキュリティ上のリスクであることを忘れないでください。 (これは現在、Stack Exchangeの別の領域です。)

ただし、少なくともメールアドレスを確認し、期間限定トークンメールを直接アクセスリンクで送信し、現在の訪問の一環としてユーザーにパスワードの変更を依頼することをお勧めします。このリクエストはメールで送信しないことをお勧めします。これはフィッシングをシミュレートするものであり、推奨または正規化されるべきではないためです。

さらに多くのユーザーデータを入力する必要がある場合は、初回または次回の訪問後に、ユーザーリクエストをメールで送信できますが、上記のようなログインリクエストは送信しないでください。

選択する実際のプロセスは、ユーザーオフとオンラインエクスペリエンスのライフサイクル全体を示す、予想されるユーザージャーニー/ストーリーにマッピングする必要があります。

2
Jools