1. casa
  2. Domanda e risposta
  3. Quali sono i pro e i contro dell'utilizzo di un'e-mail come nome utente?

Quali sono i pro e i contro dell'utilizzo di un'e-mail come nome utente?

2009-08-20 2 views
38

Si conosce la maggior parte dei moduli di accesso utilizzare l'utente & pass.Quali sono i pro e i contro dell'utilizzo di un'e-mail come nome utente?

E alcuni passano l'e-mail & pass. Quali sono i pro e i contro di loro? Ecco cosa ho pensato.

A favore di e-mail

  • una cosa in meno da ricordare (al contrario di ricordare un nome utente troppo)
  • dovrebbe sempre essere unico per ogni utente
  • una cosa in meno è necessario chiedere loro di registrare

CONS

  • Se cambiano le e-mail, potrebbero potenzialmente provare a utilizzare la loro nuova e-mail per accedere al sito?
  • Per dimenticare la password - e dice "per favore inserisci la tua email" e hanno abbandonato la vecchia email - potrebbero essere bloccati.

Credo che questo sia legato alla programmazione perché la facilità d'uso di un'applicazione web è qualcosa di importante che non dovrebbe essere trascurato.

fonte

2009-08-20 alex

+4

Per la password dimenticata, non importa se l'indirizzo di posta elettronica è l'id utente se hanno abbandonato il vecchio indirizzo di posta elettronica. –

+1

Condivido il tuo punto di vista. Una mail era il nome utente naturale: unico per design. Non so cosa sia andato storto. In ogni caso, l'ID utente successivo è OpenID. –

+0

possibile duplicato di [Quali sono i pro e i contro dell'utilizzo di un indirizzo email come ID utente?] (Http://stackoverflow.com/questions/647172/what-are-the-pros-and-cons-of-using -un-indirizzo-email-come-un-id-utente) –

risposta

22

Un'altra cosa da ricordare è che se gli altri utenti possono anche vedere il "nome utente", non si dovrebbero usare gli indirizzi di posta a causa di problemi di privacy.

fonte

2009-08-20 02:03:24

+1

+1 grazie - informazioni utili – alex

+27

Non sempre. Lo username non dovrebbe mai essere il nome pubblico. Questo vale per email come username o solo nomi utente. Separa il nome utente (o email) dal nome pubblico "presenza". – Phillip

+2

È possibile utilizzare l'e-mail e la password per l'autenticazione e un "nome visualizzato" per la rappresentazione –

1

Email (pro) - riduce lo spamming di creazione di account perché è possibile confermare il proprio account inviando loro un'email.

fonte

2009-08-20 02:04:24 JasonV

+3

È possibile richiedere un indirizzo e-mail per collegarsi all'account e verificare l'account tramite tale indirizzo e-mail. Questo non cambia se hai un nome utente per l'autenticazione. Lo consiglio comunque. – TheJacobTaylor

+0

Praticamente ogni sito per cui ti iscrivi ti chiederà un indirizzo email, indipendentemente dal fatto che sia usato come nome utente o meno. – DisgruntledGoat

+1

Bastano pochi secondi per creare un account e-mail di spam e impostarlo con un risponditore automatico. Se hai mai gestito un qualsiasi tipo di forum online prima di cui gli utenti sono tenuti a rispondere a una email per attivare il proprio account, scoprirai rapidamente che non rallenta affatto gli spammer. –

3

L'e-mail costituisce un buon nome utente purché si fornisca un mezzo per modificare l'indirizzo e-mail. LinkedIn lo fornisce mentre crei un account con un'email come nome utente. Consentono anche a te (una volta effettuato l'accesso) di modificare l'indirizzo email principale che poi cambia il tuo nome utente come indirizzo email.

Fintanto che fai qualcosa del genere, dovresti essere tutto pronto.

fonte

2009-08-20 02:04:52

+1

Nel caso in cui qualcosa dovesse accadere e l'indirizzo e-mail non possa essere recuperato per le password perse, ti consiglio di avere qualche forma di comunicazione via email o telefono per il recupero dell'account. A mio parere, dovresti farlo comunque, indipendentemente dal fatto che tu usi nomi utente o email come nomi utente. Utilizza i dati demografici dell'account per confermare che l'utente è chi dice di essere. – Phillip

5

OpenID e OAuth ..... Sembra solo meglio. Ancora meno utenti da gestire per loro e rende la migrazione in un posto più facile in un cambiamento.

Sì, devi stare attento. Insisterei sul fatto che l'indirizzo email di backup (un campo profilo aggiuntivo) è diverso dall'indirizzo e-mail che stanno utilizzando per l'utente. Molti sistemi hanno anche altri campi che possono essere usati per autenticarsi se le cose si fanno davvero difficili. A questo punto, tuttavia, richiederebbe spesso una chiamata di supporto tecnico.

A seconda del tipo di sistema, l'uso della posta elettronica potrebbe essere una vulnerabilità di sicurezza. Conosco il tuo indirizzo email, non so cosa potresti inserire nel prompt del nome utente. Se riuscire a indovinare facilmente un nome utente è un problema, allora non utilizzerei l'indirizzo email.

fonte

2009-08-20 02:05:00 TheJacobTaylor

+0

E per semplificare ulteriormente le cose, posso suggerire di utilizzare un servizio di terze parti come Auth0.com poiché hanno già tutti gli impianti idraulici per i diversi provider OAuth e supportano altri metodi di autenticazione, come Active Directory. La tua app può funzionare con una JWT che è portatile, sicura e non deve rivelare le informazioni dell'utente. –

1

Con: Quando si richiede la condivisione di un nome utente tra applicazioni quali il sito Web e l'e-mail, si possono sollevare problemi di sicurezza. Ad esempio, chiunque abbia accesso ai nomi utente nel sito Web avrà anche accesso agli indirizzi e-mail se l'e-mail è utilizzata per il nome utente. Di solito questo non è un problema, ma potrebbe esserlo.In genere, è buona norma mantenere separati nomi utente e password tra le applicazioni, a meno che non vi sia una procedura di accesso comune o meno che la sicurezza non sia importante.

fonte

2009-08-20 02:08:45 xpda

+1

Generalmente se hanno accesso al nome utente che probabilmente avrà accesso anche all'indirizzo email perché l'accesso al nome utente richiede solitamente accessibilità al database. Se hanno accesso al database, hanno accesso a più del solo nome utente. Almeno questo è il mio parere. – Phillip

0

Quando si utilizzano gli indirizzi di posta elettronica, è più semplice per un membro modificare il proprio nome utente, ad esempio quando pwng0d69 vuole essere noto come Jon Skeet. Tuttavia, per ogni sito che richiede il mio indirizzo e-mail, personalmente mi preoccupo per l'ennesima fonte di potenziale spam.

Usa Open ID :)

fonte

2009-08-20 02:10:07 Moak

1

CON: E 'uno di meno strato isolante tra l'utente e gli spammer. Se, in qualche modo, qualcuno avesse una lista completa di nomi utente, sarebbe in grado di inviare spam a tutti i tuoi utenti. Ma se il sito utilizza nomi utente, con e-mail come campo secondario, questo non è un problema.

A meno che non ottengano tutti i dati dell'utente, ovviamente, ma è comunque un problema molto più grande.

fonte

2009-08-20 02:12:50 Cinder6

0

PRO: Sembra che alcuni servizi stanno prendendo in considerazione facendo e-mail lo standard per l'identificazione di un utente specifico attraverso la rete:

esempio http://www.techcrunch.com/2009/08/14/google-points-at-webfinger-your-gmail-address-could-soon-be-your-id/

CON: Questo non è ancora avvenuto, e ci sono un sacco di altre opzioni come OpenAuth e OpenID che sono in giro oggi e hanno un certo supporto (si hanno anche login utilizzando Facebook diffusione).

Personalizza la tua scelta dell'identità in base al pubblico di destinazione della tua app.

fonte

2009-08-20 03:18:57 nicoslepicos

0

Abbiamo utilizzato il software di gestione del ciclo di vita del prodotto di Arena Solutions prima che un cambiamento nella proprietà dell'azienda richiedesse una modifica. Era una di quelle offerte in cui tutti i dati sensibili dell'azienda sono ospitati in qualche luogo al largo e potevano essere raggiunti dal browser da qualsiasi luogo.

Arena PLM è stato pubblicizzato come estremamente sicuro, ma il comportamento (predefinito) richiedeva un indirizzo email come nome utente. Permetteva password forti con una data di scadenza, ma quando la mia password è scaduta mi è stato detto che potevo sceglierne un altro, o semplicemente continuare a usare quello vecchio!

Penso rivendicazioni di sicurezza sono basate sull'uso di SSH per trasferimenti di dati, ma mi sembrava una persona determinata potrebbe accedere perché

  • I nomi utente erano pubblicamente disponibili azienda indirizzi e-mail, e
  • C'era un sacco di tempo per indovinare una password perché un utente pigro non ne avrebbe scelta una nuova.

che significa, naturalmente, che l'uso e il rinnovamento di password complesse devono essere applicate.

fonte

2009-08-20 03:40:44 pavium

1

Ho fatto questo per le app b2b ed è un vero dolore quando un utente lascia una società cliente un altro sta usando il vecchio indirizzo email disattivato come login e di proposito non lo modifica per evitare di ricevere email da noi.

Finiamo con un'email di reimpostazione della password che rimbalza e supporta le chiamate per sistemare le cose.

fonte

2009-08-21 03:34:15 sal

2

Credo che i contro superino i professionisti in materia di sicurezza.Molte aziende riciclano gli indirizzi e-mail, quindi, se un utente non utilizza più un indirizzo e-mail (cancellato il suo account e-mail), potrebbe essere riciclato per qualsiasi altra persona da utilizzare.

In tal caso, qualsiasi altra persona può ricevere la corrispondenza periodica dalla propria organizzazione. Ciò consente al nuovo utente di sapere che l'utente precedente dell'account utilizzato per accedere alla propria organizzazione. Se si utilizzano semplici reimpostazioni di password basate su e-mail, senza controlli aggiuntivi come domande di sicurezza, tutto ciò che devono fare è recuperare la password utilizzando l'indirizzo e-mail che ora possiedono e hanno accesso all'account di quella persona.

Spero che non stiate programmando per una banca. USBank.com utilizza un nome utente e non un'email. Ho anche un account con un'unione di crediti e non usano la posta ma usano numeri di conto, che non riciclano mai.

Se la sicurezza è la priorità, non utilizzare mai la posta elettronica.

fonte

2012-06-04 18:21:00

+0

Penso che di solito c'è un link "Hai dimenticato la password?" Che invia il tuo nome utente e un link di reset password. Pertanto, anche se esegui il login per nome utente (e non per e-mail), potresti essere in pericolo se gli indirizzi e-mail vengono riciclati. (Non ti considereresti sicuro solo perché non è stata inviata alcuna corrispondenza periodica che ha rivelato l'identificatore di accesso?) – KajMagnus

+0

@KajMagnus: Sì, ma almeno sarai comunque in grado di accedere al tuo account per aggiornare l'indirizzo email a tuo nome indirizzo email. Se l'applicazione invia una e-mail all'indirizzo e-mail originale per chiedere conferma che l'indirizzo e-mail debba essere cambiato [che ho visto prima], allora sarai fregato. Inoltre, solo [di solito] invia un link per la reimpostazione della password * se * è possibile autenticare un altro controllo di sicurezza - qualcosa sulla falsariga di un numero cliente (come Go Daddy) o un PIN, o il numero di telefono ecc. Permettere una password il reset senza controllo secondario è noobish. –

2

Un altro problema che può sorgere quando si utilizza l'e-mail come nome utente è l'attacco "raccolta utenti". Ad esempio, se si dispone di una pagina "cambia email" o quando si crea un nuovo utente, se il nuovo utente inserisce un'email già esistente, l'applicazione dovrà restituire un errore. Di conseguenza, un utente malintenzionato può scoprire tutti gli utenti dell'applicazione eseguendo uno script semplice (nel caso in cui l'utente non esista verrà aggiunto)

fonte

2013-02-14 10:06:57 Oren

+0

Questo può essere risolto in questo modo: il sito non dovrebbe sapere se l'e-mail esiste o meno. Dovrebbe semplicemente inviare una mail all'email appena inserita con un testo appropriato, con una formulazione che dipenda dal fatto che la posta esistesse o meno. La risposta immediata dal sito dovrebbe informare che è stata inviata una mail, ovviamente, e dire all'utente di controllare la sua casella di posta. – Magnus

1

Un'altra nota se si intende consentire agli account di essere pubblici è che non richiedere un nome utente significa che devi consentire un "Nome visualizzato" (di certo non mostreresti un indirizzo email), ma se i tuoi utenti vogliono usare i loro nomi reali c'è il potenziale per nomi duplicati che potrebbero causare confusione (pensa due SO commentatori senza immagini e con lo stesso nome, l'ipotesi è che sia la stessa persona a meno che non abbiate cliccato su un profilo completo). In questo caso dovresti forzare un Nome Display univoco (che potrebbe impedire a qualcuno di usare un vero nome) o semplicemente accettare il fatto che potresti avere due Bob Johnson che si aggirano intorno a persone confuse.

fonte

2013-05-06 17:15:39

 Problemi correlati

  • Nessun problema correlato^_^