Nella pagina "Ho dimenticato la mia password", è appropriato quando l'utente non ha un account per visualizzare il messaggio "questo account non esiste"? O nell'interesse della sicurezza, dovrei visualizzare un messaggio di successo ("hai ricevuto un'e-mail con una procedura di ripristino della password") anche se non è stata inviata alcuna email?
La risposta a questo dipende dalla natura del sito. In realtà, ritengo che i vantaggi di UX siano quelli di dire loro se le informazioni fornite erano corrette o meno, ma solo se non incidono sulla sicurezza.
Ci sono molti siti in cui è possibile enumerare i nomi utente in più modi, e sono in questo modo in base alla progettazione. Ad esempio, se si desidera enumerare i nomi utente di Twitter, è possibile farlo facilmente verificando se la pagina dell'utente fosse disponibile al collegamento . Anche se ciò non fosse possibile, Twitter fornisce una bella piccola API per accedere agli elenchi di utenti.
Tuttavia, questo ovviamente non funziona per un sito che è anche di natura leggermente sensibile. Se il tuo sito rientra in questa categoria e non c'è altro modo per enumerare nomi utente / email, segui il tuo istinto e dai il messaggio generico che invierai un'email.
Da un punto di vista dell'usabilità, è orribile mostrare un messaggio generico, indipendentemente dal fatto che il nome utente / email inserito sia stato trovato o meno. È estremamente fastidioso se non sai con certezza quale nome utente / email hai utilizzato.
Tuttavia, esiste un modo semplice per mantenerlo user-friendly pur non consentendo ancora agli utenti di enumerare gli account:
Fornisci campi sia per il nome utente che per l'email e ne richiedono solo uno. Se è stato inserito un indirizzo e-mail, invia un'email a quell'indirizzo con le informazioni necessarie. Se è stato inserito un nome utente, invia un'email all'indirizzo che hai memorizzato per tale nome utente.
Anche se questo potrebbe consentire alle persone di attivare le e-mail di reimpostazione della password per altri utenti per errore non è un grosso problema - dopotutto, l'e-mail dovrebbe contenere solo un link a un modulo che consente di reimpostare una password e non cambiare immediatamente la password in a caso.
Gli utenti autentici dell'applicazione potrebbero trovarlo confuso se fornisci il messaggio come "hai ricevuto un'e-mail con un processo di reimpostazione della password"
Secondo me, per prevenire l'enumerazione degli utenti, puoi aggiungere anche una domanda di sicurezza.
Come aggiungere un'opzione per controllare la data di nascita, o un dettaglio a cui un aggressore casuale potrebbe trovare difficile rispondere.
Per le combinazioni di disallineamento, puoi assicurarti che un messaggio di errore sia visualizzato come " combinazione non corrispondente ". Questo confonderà l'attaccante. Ma un vero utente troverà la sua strada usando il prossimo tentativo.
Per prevenire una forza bruta puoi anche abilitare CAPTCHA e un blocco temporaneo bilanciato per un breve periodo di tempo basato sul numero di tentativi falsi.
Dal punto di vista della sicurezza e della privacy, è meglio dire:
"Se il tuo account è stato individuato, verrà inviata un'email con le istruzioni per reimpostare la password."
Tuttavia, questo ovviamente non è utile per qualcuno che non è sicuro di quale e-mail o nome utente con cui si sono registrati.
Ma sacrificherei un po 'la comodità dell'utente per fornire ulteriore sicurezza e privacy. Quindi, in altre parole, non dire qualcosa del tipo "quell'account non esiste".
Leggi altre domande sui tag asp.net user-interface web-application