Le pagine di accesso / entrata combinate sono pericolose e come migliorarle?

Naviga le tue risposte
14

Vorrei codificare una pagina di accesso / una pagina combinata come quella nella figura qui sotto.

Ilmiocollegahadettochequestopermetteràaglispammer/hackerdivederequaliindirizziemailsonoregistraticonilnostrosistemaequestoèmale.

Masicuramentenonèdiversodalmodoincuiglihackerpossonocontrollaregliindirizzie-mailsuunanormalepaginadiregistrazionedovedice"questa e-mail è già in uso".

Il mio collega ha ragione? Il mio disegno è più pericoloso? In tal caso, perché e come posso modificarlo per mantenere l'interfaccia utente minimalista di una sola pagina, ma sono comunque al sicuro?

    
posta Richard 30.03.2016 - 16:37
fonte

3 risposte

23

But surely this is no different than the way hackers can get check email addresses on a normal sign up page where it says 'this email is already in use'.

Sì, hai ragione, e il tuo collega ha torto. Il problema potrebbe esistere anche se la pagina di registrazione non si trovava nella stessa pagina della pagina di accesso.

Qualsiasi misura preventiva per questo problema può essere implementata indipendentemente dal fatto che tu abbia due pagine o una pagina combinata (ad esempio, puoi visualizzare e richiedere un captcha quando l'utente inserisce qualcosa nei campi di iscrizione, e ovviamente nel back-end puoi limitare il tasso al momento della registrazione, ma non all'accesso - o entrambi, per impedire anche i tentativi di bruteforce all'accesso).

Detto questo, il design sembra piuttosto confuso. Non è chiaro per me che questa è anche una pagina di accesso e mi aspetto che molte persone si registrino accidentalmente di nuovo perché non sono sicure su come utilizzare correttamente il modulo.

    
risposta data 30.03.2016 - 17:14
fonte
10

In base alla risposta suggerita dal commento di Michael sulla mia domanda, ho ridisegnato la pagina per:

  • Non dire a nessuno se l'e-mail esiste nel nostro database quando accedi
  • Spiega alle persone che l'e-mail esiste se ti iscrivi, ma ha un CAPTCHA per impedire attacchi automatici

Purtroppo questo richiede un clic in più (il pulsante 'Iscriviti') dagli utenti, ma non è la fine del mondo.

Nuovo design:

    
risposta data 30.03.2016 - 17:27
fonte
1

Penso che il modulo potrebbe essere semplificato come segue:

Form iniziale

Nomeutenteepasswordsemplici,conduepulsanti-"Accedi" che fa ciò che dice e "Registrati (sono nuovo)"

Se il tentativo di accesso è effettuato con indirizzo e-mail che non è registrato, o se l'utente fa clic su "Registrati", mostra il modulo di registrazione

Piuttostosemplice...

SeilLoginèstatotentatoconl'indirizzoemailcheèregistrato,malapassworderrata

Offrilorolapossibilitàdiriprovareodireimpostarelapassword.Forseanchesolomostrareilpulsante"Reimposta password" se provano ad accedere con lo stesso indirizzo email ma la password sbagliata più di X volte.

Troppe password errate - Forza reimpostazione della password

    
risposta data 31.03.2016 - 07:48
fonte

Leggi altre domande sui tag

Regolamenti che specificano la lunghezza della password? La mia azienda mi sta monitorando?