Recupero indirizzo e-mail alla registrazione

6

In un modulo di registrazione all'utente viene richiesto il suo indirizzo e-mail. L'indirizzo e-mail verrà convalidato per il formato corretto (ad esempio almeno contiene @ ) e sto considerando di verificare se è già registrato. Ciò costituirebbe un rischio per la sicurezza in quanto consentirebbe agli aggressori di verificare gli indirizzi e-mail degli utenti con account? Se sì, come può essere mitigata la minaccia?

    
posta Celeritas 03.06.2013 - 21:52
fonte

3 risposte

4

Per evitare questo tipo di perdita, puoi anche iniziare il processo di registrazione chiedendo l'e-mail. Dopo averlo inserito, si invierà un'e-mail con un collegamento in modo che l'utente possa continuare con il processo di registrazione. Se l'e-mail fosse già stata registrata, si invierà una e-mail che lo dirà.

In questo modo, solo il proprietario dell'e-mail potrebbe registrarsi.

Inconvenienti :

  • probabilmente i veri utenti comuni si annoieranno avendo così tanti passaggi da registrare.
  • in pochissimi casi la semplice rivelazione del fatto che una e-mail è già registrata in un sito è un problema, specialmente perché è facile registrarsi in qualsiasi sito fornendo qualsiasi e-mail che si desidera. Non riceverai semplicemente l'e-mail per attivare il tuo account, ma in generale il sito collegherà l'account / nome utente a tale e-mail.
risposta data 03.06.2013 - 22:18
fonte
3

L'utilizzo di un nome utente anziché di un indirizzo e-mail è un metodo o utilizzare una combinazione di entrambi per questioni di sicurezza come il ripristino della password. Questo rende la scoperta di un particolare indirizzo e-mail meno utile se sono necessari sia un nome utente che una e-mail.

Non è un grosso problema perdere il fatto che nella maggior parte dei casi esiste un particolare indirizzo e-mail, a meno che la privacy non sia una grande preoccupazione, nel qual caso si potrebbe preferire l'uso esclusivo dei nomi utente per l'unicità. In alternativa, puoi consentire che l'account venga creato, ma invia un messaggio di posta elettronica all'indirizzo specificato in cui è indicato che esiste già un account.

    
risposta data 03.06.2013 - 21:57
fonte
1

Ho visto più siti modificare la risposta agli account che sono stati creati (notifica), a qualcosa del tipo: "Se l'account esiste, verrà inviata un'e-mail" contro: " non esiste un account di questo tipo "(che consente a qualcuno che si registra di sapere se esiste già un account) Se stai cercando di fermare" l'enumerazione degli account ", dai uno sguardo a OWASP:" Testing per l'enumerazione degli utenti e l'account utente ipotizzabile "

    
risposta data 03.06.2013 - 22:00
fonte

Leggi altre domande sui tag