Primero, generalmente es una mala idea enviar contraseñas permanentes para cosas seguras a través del correo electrónico, especialmente contraseñas generadas por el usuario (que el usuario puede compartir en otros recursos). A menudo, su correo electrónico se guarda automáticamente en el disco si utiliza un cliente de correo electrónico, que es fácil de leer por cualquier persona que tenga acceso físico a su computadora si no cifra su disco duro o si nunca deja el disco duro encriptado desbloqueado. Además, en general, no existe ninguna garantía en el correo electrónico de que un intruso no esté leyendo sus mensajes de correo electrónico, por ejemplo, si revisa su correo electrónico a través de POP / IMAP sin SSL o si alguien está analizando el lado del servidor de su correo electrónico, o mientras el correo electrónico se enruta entre el correo. servidores Concedido que una contraseña generada por computadora se almacena con su correo electrónico puede no ser un gran compromiso, especialmente si el sistema permite que alguien con acceso a su correo electrónico pueda restablecer la contraseña. (Y si el sitio utiliza cookies para almacenar información de inicio de sesión, puede leer las cookies del disco duro tan fácilmente como leer el correo electrónico del disco duro).
Es agradable que el proceso descrito anteriormente verifique que la dirección de correo electrónico sea (inicialmente) legible para el usuario que realiza el registro. Esto también se puede hacer requiriendo que un usuario registrado haga clic en un enlace con un token aleatorio. Los servicios de correo electrónico temporales otorgados, como 10minutemail.com, pueden solucionar este problema, es probable que un usuario mienta, ya que querrá tener la contraseña en sus registros.
Otra cosa buena es que establece una contraseña segura de forma predeterminada. Muchas personas no cambiarán los valores predeterminados o, si cambian la contraseña, usarán una contraseña similar. Considere la posibilidad de donación de órganos con los países que opten por la entrada / exclusión. el 99% de los austriacos son donantes de órganos, ya que la opción predeterminada es ser un donante (exclusión voluntaria) y el 12% de los alemanes son donantes de órganos, ya que el valor predeterminado es no ser un donante (opt-in) . Este aspecto de la psicología es probablemente un factor más importante al elegir el valor predeterminado para otras funciones de seguridad como "esta es una computadora pública (no recuerdo mi inicio de sesión)", pero para los usuarios que ya guardan contraseñas en su navegador, esto no es particularmente diferente .
Lo ideal es que la funcionalidad de cambio de contraseña pueda intentar verificar que la nueva contraseña sea lo suficientemente sólida. Por ejemplo, no es similar a las contraseñas en una lista de contraseñas comunes, no es una palabra del diccionario o una palabra del diccionario seguida de un número de 1 o 2 dígitos o un signo de puntuación. Esto podría ser una operación muy molesta y más intensiva de la CPU para que cada usuario que se registre genere una contraseña segura, pero posiblemente sea menos intensivo si la comprobación solo se realiza en la página de cambio de contraseña (suponiendo que algunos usuarios frustrados se rindan). Además, es mejor que se sientan frustrados al cambiar la contraseña una vez que ya tienen una cuenta de trabajo en lugar de tener una.