Il nome utente / nome visualizzato è più sicuro del login e-mail?

Un aspetto è ben descritto da @AJHenderson e comporta uno schema di verifica per la reimpostazione della password potenzialmente insicuro, se il computer dell'utente finale è stato compromesso da un keylogger.

Un altro è indicato da @Zaffy e riguarda l'utilizzo di uno dei valori pubblicati per la verifica. Vorrei aggiungere che questi cambiamenti sono in genere suggeriti dalle modifiche dell'EULA / TOS dei siti Web e, in caso affermativo, potresti trovare la tua risposta lì. Hanno cambiato i loro termini di servizio ultimamente? O forse il fornitore di servizi voleva che i suoi membri fossero in grado di pubblicare i loro indirizzi e-mail con altri membri, se lo avessero scelto? In entrambi i casi, se l'indirizzo e-mail diventerà improvvisamente visibile agli altri membri, allora è un caso chiaro per rafforzare la sicurezza di accesso utilizzando dati utente non divulgati.

Ma c'è anche un altro motivo relativo alla sicurezza per non includere gli indirizzi email degli utenti. Se il processo di accesso in qualche modo rivela quale dei due campi obbligatori non corrisponde a nessun record nel database degli utenti registrati (da un messaggio di errore distinto, rimuovendo valori di campi di input non validi, ...). Cioè, se un processo di accesso fosse troppo facile da usare con le sue risposte, un utente malintenzionato potrebbe facilmente acquisire conoscenze, sia che un determinato indirizzo e-mail sia registrato con il sito web in questione. Quale potrebbe a sua volta invalidare EULA / TOS affrontando eventuali problemi di riservatezza. Pur avendo una simile "facilità d'uso" sul posto sta notevolmente diminuendo la sicurezza da sola, molti sviluppatori web non hanno ancora scoperto questo sito, per conoscerne meglio.

Un altro motivo, anche se meno strettamente correlato alla sicurezza, per cui gli sviluppatori hanno deciso di cambiare la procedura di accesso, potrebbe anche prevedere l'espansione della propria attività a terze parti e l'EULA / TOS con cui ci si è accordati al momento della registrazione non ha coperto la divulgazione del tuo indirizzo email a queste terze parti. In questo modo, potrebbero evitare di invalidare il proprio EULA / TOS e offrire comunque servizi di terze parti a una base di utenti già esistente, identificando gli utenti della rete con dati non privati.

Hai ragione a dubitare che ci siano dei vantaggi in termini di sicurezza, come pubblicizzato su questa pagina SWTOR . Sembrerebbe piuttosto strano come possano rivendicare una maggiore protezione contro eventuali acquisizioni di account, quando un utente malintenzionato ora sarebbe solo una password dall'accesso con successo come un altro utente, mentre prima entrambi il nome utente e la password si aggiungevano all'entropia dell'intero processo . Curioso davvero. Poi di nuovo, non sono un giocatore SWTOR, che è abbastanza curioso da solo:)

Questo perché le persone usano la stessa password quando non dovrebbero. Se un keylogger riceve l'e-mail e la password di accesso SWTOR, non possono inviare un'email per verificare attività sospette in quanto l'utente malintenzionato potrebbe avere anche il suo account e-mail.

L'uso di un nome visualizzato impedisce che il riutilizzo della password provochi compromissione dell'indirizzo email con la stessa facilità. Ciò semplifica il recupero di un account rubato poiché, se non hanno accesso al tuo indirizzo e-mail, non possono rispondere a nessuna e-mail di conferma che l'assistenza clienti di SWTOR invia ad esso.

Varia. Se il tuo nome utente non viene visualizzato e solo tu lo sai, allora sì. D'altro canto, se il nome utente è pubblico, penso che l'accesso all'email sia più sicuro.

Ad esempio: la maggior parte delle applicazioni Web espone i nomi utente degli utenti ma non le e-mail. Quindi chiunque può vedere il tuo nome utente ma non e-mail. Quindi accedere alla tua e-mail "segreta" sarebbe più sicuro.