In molte applicazioni Web, l'e-mail deve essere un campo unico e gli utenti non possono registrare un account se la loro e-mail esiste già nel database.
Quando esegui la convalida nel modulo di registrazione, presumibilmente verificherai se è stata effettuata un'e-mail e informati se è possibile, perché possono sceglierne una diversa o provare a reimpostare la password.
Tuttavia, se fornite questo feedback, sembra che gli utenti malintenzionati possano verificare se gli utenti esistono nel database. Qualcuno potrebbe testare plausibilmente il tuo sito contro i dati trapelati dagli hack di grandi nomi e, se gli utenti stanno riutilizzando le loro password attraverso i siti, il tuo sito è potenzialmente vulnerabile.
La soluzione potrebbe essere semplicemente dare un feedback più generico su ciò che è andato storto senza menzionare specificamente la posta elettronica, anche se ciò potrebbe essere frustrante per l'utente medio che sta tentando di iscriversi. E se il tuo modulo di iscrizione richiede semplicemente un'email e una password, è ancora abbastanza ovvio che se si verifica un errore è probabile che l'email sia già presente nel database.
Qual è il modo migliore dal punto di vista della sicurezza per gestire l'informazione di un utente che un'e-mail è già stata presa al momento della registrazione?