Perché utilizzare i nomi utente e non solo gli indirizzi e-mail per identificare gli utenti?

44

Perché utilizzare nomi utente, e non solo indirizzi e-mail, per identificare gli utenti? - Qual è la preoccupazione principale o il caso principale quando un esperto di sicurezza (che non sono io) dovrebbe raccomandare l'inserimento di un altro livello di nomi utente, ad esempio, quando viene creata un'applicazione nativa / web?

    
posta user9303970 23.04.2018 - 06:58
fonte

10 risposte

71

Alla tua domanda manca un sacco di contesto, ma quello che dici sembra che stia cercando di risolvere un argomento. Quindi la mia risposta inizierà con "Dipende ..."

Una ragione per avere nomi utente univoci che non sono indirizzi email è proteggere la privacy quando altri utenti possono vedere il nome utente. Ad esempio, i profili GitHub indicano il nome utente nell'URL del profilo e come indicatori dell'autore su commit, problemi, commenti, ecc.

Fornire un nome utente come faccia pubblica dell'utente al posto del loro indirizzo email consente loro un livello di privacy.

In alcuni rari casi, un servizio può scegliere di non raccogliere indirizzi e-mail ... poiché gli indirizzi e-mail possono essere considerati informazioni sensibili e personalmente identificabili. Il lato negativo di non raccogliere affatto un indirizzo email è che il recupero dell'account per qualcuno che dimentica la password o che ha violato il proprio account sarà più difficile senza un canale verificato da utilizzare per il ripristino.

O per l'approccio ibrido, si potrebbe raccogliere l'indirizzo email, ma memorizzarlo nel database dietro una crittografia strong. La crittografia avanzata è generalmente difficile da cercare, quindi avere un identificatore meno sensibile da usare che può essere archiviato in chiaro sarebbe comodo.

    
risposta data 23.04.2018 - 07:23
fonte
19

Le e-mail sono in effetti utilizzate per l'identità dell'utente su molti siti Web.

Ci sono vantaggi e svantaggi a questo. Un elenco incompleto:

Vantaggi

  • il problema dell'unicità è già risolto
  • non c'è bisogno di inventare o inventare un nome utente
  • non è necessario chiedere inoltre l'indirizzo e-mail

Svantaggi

  • le persone a volte cambiano il loro indirizzo e-mail
  • spesso espone pubblicamente l'indirizzo e-mail (problemi di spam, molestie, ecc.)
  • a seconda del contesto, le persone potrebbero voler avere un nome utente, non un indirizzo

Una soluzione comune e sicura è quella di avere sia un nome utente visualizzato che l'indirizzo e-mail per accedere.

    
risposta data 23.04.2018 - 13:48
fonte
10

Dipende dal tipo di applicazione. Se si tratta di un forum, ha senso aggiungere un altro livello di nomi utente per un paio di motivi:

  1. Maschia l'indirizzo e-mail da pubblico (è necessario avere un nome visualizzato e molte persone potrebbero non volere che il loro indirizzo e-mail diventi pubblico). Tuttavia, un'altra opzione potrebbe essere quella di far accedere le persone con il loro indirizzo e-mail e dare loro la possibilità di scegliere un nome visualizzato.

  2. Facilità di accesso (ovviamente, con i browser che ricordano i tuoi ID di accesso, questo diventa meno rilevante).

Se si tratta di un'applicazione in cui i membri non interagiscono con il pubblico, probabilmente il log-in con l'indirizzo e-mail avrebbe senso.

    
risposta data 23.04.2018 - 07:16
fonte
6

Una ragione che non è stata ancora menzionata è la possibilità di consentire agli utenti di creare più account. Non tutti i siti devono limitare gli account a uno a persona.

Consentire più account / identità è un problema di sicurezza / privacy. Mentre può essere abusato, dà anche più privacy alle persone perché possono separare il lavoro da questioni private, ecc.

Stack Exchange consente alle persone di tenere più account. Tuttavia, poiché l'email viene utilizzata come un ID, ogni account necessita di un indirizzo email diverso.

Se l'e-mail non viene utilizzata come id, è possibile creare più account con lo stesso indirizzo e-mail. questo potrebbe semplificare le cose per gli utenti e persino consentire un adeguato sistema di supporto per più identità.

Una ragione per non consentire più account per persona è l'allocazione delle risorse. (Ad esempio, potresti avere 10 GB di spazio libero) Tuttavia, se le persone creano più account per motivi di privacy, in realtà non si preoccupano dello spazio disponibile.

Consentendo l'uso dello stesso indirizzo email per più account, le persone potrebbero ottenere le loro identità multiple, ma l'indirizzo email può essere utilizzato per tracciare le risorse limitate.

Questo non impedisce l'abuso, ma aiuta a identificare le persone oneste.

Naturalmente ci sono anche altri modi per ottenere questo risultato.

    
risposta data 24.04.2018 - 06:41
fonte
5

Oltre alla privacy e alla facilità d'uso, un nome utente può coprire lo scenario quando un account di posta elettronica viene compromesso.

Se il mio account di posta collegato a un sito è compromesso, ad esempio, cambierei l'account di posta in uno nuovo (cambia il valore predefinito) nel tentativo di minimizzare il danno.

Le persone perdono continuamente l'accesso agli account di posta per vari motivi.

    
risposta data 23.04.2018 - 09:21
fonte
4

Gli indirizzi email non sono una buona idea per i nomi utente, per non parlare di nomi utente univoci, a meno che tu non entri in un lotto di problemi.

Ad esempio, registro gli account con un indirizzo email come "[email protected]" in modo che se ricevo spam posso vedere quale servizio ha perso il mio indirizzo.

Questo è l'indirizzo che dovresti registrare come indirizzo e-mail allo scopo di recapitarmi un'email.

Ma per l'unicità del nome utente, dovresti semplicemente controllare '[email protected]'. Tranne che gmail (e sono sicuro che altri) accettano anche email a '[email protected]', '[email protected]' ecc. Quindi dovrai anche ignorare i punti quando controlli l'unicità .

Oh, e potrei non ricordare se ho usato i punti o incluso il nome di un servizio, e qual era il nome del servizio. Quindi perderò probabilmente l'accesso al mio account.

    
risposta data 24.04.2018 - 07:26
fonte
3

In realtà, le e-mail sono a volte usate per identificare un utente. Stack Exchange stesso lo fa, ed è necessario accedere utilizzando la tua e-mail e password. L'unico scopo di un identificatore è di essere unico, creando uno spazio dei nomi di sorta. Se imponi l'univocità di tutti gli identificatori (se nome utente, email o altro), quindi, a fortiori , tutte le identificazioni: le combinazioni di password saranno uniche.

    
risposta data 23.04.2018 - 07:04
fonte
2

L'utilizzo del nome utente presenta alcuni vantaggi rispetto all'utilizzo della posta elettronica come forma di accesso:

  • È più sicuro (contro la cache del browser, altri che visualizzano l'indirizzo e-mail, il phishing, ecc.)
  • È più privato (ragioni simili a sopra)
  • Può essere digitato più velocemente (e sì, questa volta conta più volte)
  • Può essere configurato lato server per essere utilizzabile in caso di compromissione della posta elettronica o indipendente dallo stato della posta elettronica
  • Può impedire che una serie specifica di errori (da correlata e non solo - utilizzando solo caratteri alfanumerici sia sempre meglio usarla generalmente nel mondo IT)
risposta data 24.04.2018 - 14:02
fonte
0

La precedente azienda con cui ho lavorato per siti Web sviluppati che consentivano accessi per vari scopi. Tuttavia, la maggior parte dei nostri clienti ha adottato politiche piuttosto rigide nei confronti delle applicazioni che raccolgono informazioni personali identificabili (PII). C'erano moduli da compilare, giustificazioni da presentare, accesso ai dati da controllare e così via. Quindi, dove potremmo, implementeremo gli accessi utilizzando i nomi utente (e non chiediamo alcuna PII) in modo che tali applicazioni possano essere utilizzate.

    
risposta data 24.04.2018 - 12:22
fonte
-2

Poiché nessuna delle altre risposte lo ha ancora menzionato:

È anche più sicuro contro il social engineering / hacking. Come forse saprai, molto hacking non avviene perché gli hacker sono geni di una razza superiore che possono crackare tecnicamente qualsiasi sistema, ma perché gli hacker sono in grado di indovinare nomi utente e password (purtroppo, in molti casi, quelli degli amministratori).

Concettualmente, un nome utente e una password sono due credenziali indipendenti. Quando si utilizza l'indirizzo e-mail come nome utente, lo si riduce effettivamente a una credenziale reale. In che modo?

Bene, gli utenti sono pigri e molti di loro hanno un solo indirizzo e-mail (per favore, non permettiamo a noi di iniziare una discussione se è uno, due o tre - questo non cambierà troppo il seguente ragionamento). Ciò significa che molte persone conoscono le loro prime credenziali per molti siti web senza hacking .

A quel punto, puoi tranquillamente presumere che la password sia la credenziale solo che fornisce protezione.

Personalmente, per questo motivo, ho preso personalmente le seguenti regole:

  • Durante lo sviluppo di un sito web, non uso l'indirizzo email come nome utente.
  • Quando si sviluppa un sito Web e un utente si registra, e noto che l'utente sceglie un nome utente che potrebbe essere qualcosa come un indirizzo e-mail, rifiuta la registrazione (ovviamente con un messaggio di errore appropriato che chiede all'utente di scegliere un nome utente che non è e anche non assomiglia ad un indirizzo email).
  • Quando mi registro con un sito web, non utilizzo uno dei miei indirizzi email come nome utente a meno che il sito Web non mi costringa a farlo.
  • Se un sito web consente di scegliere il nome utente in modo casuale, uso qualcosa come xKAiSP0k0hILscxU come nome utente (ricorda: non sarebbe saggio usare una cosa come nome.lastname, la tua data di nascita o il nome del tuo gatto come utente nome perché poi hai esattamente lo stesso problema - tutti lo sanno o possono indovinarlo)
  • Se un sito web mi obbliga a utilizzare un indirizzo email come nome utente, creo un nuovo indirizzo che non può essere indovinato (ad esempio [email protected] o anche xKAiSP0k0hILscxU@some_disposable_email_service_like_mailinator ), e io uso quell'indirizzo solo per quel web sito.

Solo i miei due centesimi ...

    
risposta data 26.04.2018 - 08:29
fonte

Leggi altre domande sui tag