Le migliori pratiche che comunicano i collegamenti nella posta elettronica

Naviga le tue risposte
4

Il nostro dipartimento comunicazione ci ha recentemente chiesto (il team di sicurezza) una domanda. Mandano un sacco di posta, in particolare mail come "la tua password è impostata per scadere" sono argomenti caldi qui. La domanda era: dovremmo scrivere i link? Abbiamo "dominio.com/passwordreset". Dovremmo aggiungere "www"? Dovremmo aggiungere "https"? Dovremmo semplicemente creare un link di testo "Clicca qui"?

Ho controllato alcune e-mail che ho ricevuto personalmente dalle banche e ho notato che di solito è una stringa che contiene un link, ma quelle aziende lo fanno perché vogliono tenere traccia di chi fa clic sui collegamenti e quindi i collegamenti sono davvero lunghi. Gli URL che il nostro dipartimento di comunicazione sta tentando di comunicare sono URL brevi che vorrebbero che la gente ricordi anche al di fuori dell'email.

Mi sono guardato intorno, ma non sono riuscito a trovare alcuna esperienza pratica con questo online. Quindi la mia domanda è: quale sarebbe l'opzione "migliore" e perché?

    
posta saekort 03.05.2017 - 09:51
fonte

3 risposte

1

La cosa più importante è fare in modo che le persone cambino effettivamente le loro password, quindi è più semplice fare clic su un link e ricordarlo in seguito. In primo luogo, dovresti sicuramente renderlo un link https, non devi mai indirizzare le persone verso una connessione non sicura per cambiare una password.

Per quanto riguarda il formato dei dati non c'è una risposta particolarmente giusta, puoi semplicemente nascondere il link dietro al testo come "Cambia la tua password" a:

<a href="https://www.example.com/passwordreset">Change Your Password</a> che sarebbe simile a questo: Cambia la password

oppure potresti avere un link nudo

<a href="https://www.example.com/passwordreset">https://www.example.com/passwordreset</a> che sarebbe simile a questo: link

La maggior parte dei browser e programmi di posta elettronica riconoscono automaticamente i collegamenti indipendentemente dal fatto che siano inclusi in html o meno, ad esempio ho semplicemente digitato link in, ma la maggior parte dei browser mostrerà un collegamento.

La maggior parte degli utenti non memorizza i collegamenti in modo onesto e non ricorderà l'URL di reimpostazione della password, ma alcuni potrebbero farlo, quindi se questo è un obiettivo importante mettere in chiaro il link nudo.

    
risposta data 03.05.2017 - 10:33
fonte
2

Una politica che ho visto utilizzata da alcune banche e agenzie governative nei Paesi Bassi non deve mai includere alcun collegamento nella posta, ma solo per fare riferimento al "nostro sito web" o al "nostro portale web".

L'idea principale qui è che stanno dicendo esplicitamente ai clienti di non fare clic su alcun link nelle e-mail (presumibilmente) provenienti da loro. In questo modo sperano di ridurre la possibilità che le persone visitino i link citati nelle e-mail di phishing e inseriscano le loro credenziali lì.

Le persone sono sempre costrette a inserire l'URL della pagina web nel proprio browser (o utilizzare i segnalibri), che può essere un po 'un inconveniente osservandolo da una prospettiva UX, ma può funzionare come misura di sicurezza.

Purtroppo non ho idea di quanto sia efficace, e quindi se è una strategia utile.

    
risposta data 03.05.2017 - 11:14
fonte
0

Come altri hanno affermato, non c'è modo di garantire agli utenti che il link che trovano nella tua posta sia sicuro: mentre di solito c'è un modo semplice per gli utenti di controllare dove un link li condurrà, è impossibile per automatizzarlo da remoto: ti devi fidare dello screening fatto dal client di posta.

Tuttavia, ci sono alcune cose che puoi fare per migliorare la situazione generale:

  • NON utilizzare MAI servizi di abbreviazione URL (TinyURL, ecc.)
  • Implementa il controllo dell'origine corretto sull'e-mail in uscita: impostazione corretta SPF e DKIM renderanno più difficile falsificare le email da te e quindi renderanno più semplice per i tuoi utenti fidarsi delle tue email (non è garantito, ma è molto meglio di niente ).
  • Invia sempre e-mail dallo stesso dominio. Questo dovrebbe includere anche l'email di marketing. Ciò semplifica l'individuazione dei tentativi di phishing da parte dell'utente.
  • Se puoi, firma digitalmente TUTTE le tue e-mail (tramite S / MIME) con un certificato X509 valido. Purtroppo, non esiste (AFAIK) un equivalente di hsts per SMTP o e-mail in generale. Tuttavia, puoi includere un disclaimer in tutti i tuoi messaggi sul fatto che tutti i messaggi in uscita devono essere firmati.
risposta data 03.05.2017 - 13:01
fonte

Leggi altre domande sui tag

Con quale frequenza dovrebbero essere rigenerati i segreti per l'autenticazione token? Utilizzare un algoritmo di hash sconosciuto per le password ed essere conforme PCI?