Chiedere la password dopo la convalida dell'e-mail?

Naviga le tue risposte
4

Non voglio discutere i pro e i contro della convalida della posta elettronica, ma voglio sapere se ci sono dei potenziali aspetti negativi (sicurezza e altro) a un utente che digita la sua password solo dopo aver già convalidato il suo indirizzo email (cliccato il link di attivazione)?

Il flusso sarebbe:

  1. L'utente inserisce l'indirizzo email.

  2. L'utente convalida l'indirizzo email tramite il link di attivazione ricevuto nella sua casella di posta.

  3. L'utente inserisce la password.

  4. L'utente accede per la prima volta all'app Web.

posta Hawkken 02.11.2015 - 09:37
fonte

1 risposta

3

Da un punto di vista della sicurezza, non riesco a vedere alcun problema con questo flusso. In realtà potrebbe essere più sicuro rispetto alla richiesta dei dettagli dell'utente e quindi alla verifica dell'indirizzo email. Un utente potrebbe inserire un indirizzo e-mail errato e dare l'accesso al proprio account a una terza parte casuale. Nel tuo scenario, non c'è nessun account per accedere.

Avrai la possibilità che qualcuno elenchi gli indirizzi e-mail degli utenti esistenti inserendo ripetutamente l'indirizzo e-mail nella pagina di registrazione e cercando i messaggi di errore, ma ciò sarebbe possibile anche in un flusso tradizionale di "email e password insieme". Se hai impostato una sorta di limite di velocità o captcha su quella pagina, dovresti stare bene.

Potresti perdere alcune registrazioni utente da questo flusso, ci saranno sempre utenti che non si preoccuperanno mai di completare il passaggio di registrazione extra. A seconda del servizio che offri, questo potrebbe essere più o meno probabile.

    
risposta data 02.11.2015 - 10:28
fonte

Leggi altre domande sui tag

Rilascio e gestione di un numero elevato di certificati per l'autenticazione del client Wi-Fi chiede di accettare il certificato (autofirmato): a cosa serve?