Problema di sicurezza con email di conferma

4

Ho un'app e al primo accesso inviano una classica email di conferma. Quando gli utenti devono reinstallare l'app, a volte gli utenti inviano messaggi al nostro supporto dicendo: "Non ricordo l'e-mail utilizzata per registrare il mio account, come posso avere il codice di verifica?"

Questo è piuttosto fastidioso, quindi ho pensato di inviare agli utenti un messaggio del tipo "abbiamo inviato un codice di verifica a a***@gmail.com", ma mi sto preoccupando per i problemi di sicurezza e le politiche di protezione dei dati. Cosa pensi? Questo potrebbe essere un problema di sicurezza? Conosci un modo migliore?

    
posta JungleFever 02.05.2018 - 16:51
fonte

3 risposte

2

La reinstallazione non dovrebbe richiedere un codice di verifica, se hanno il loro nome e password per accedere. Reinstalla sul dispositivo nuovo, accedi, c'è il tuo account.

La reimpostazione della password, d'altra parte, implica che hanno perso / dimenticato la password, ma conoscono ancora il loro nome utente. Se il loro nome utente era la loro email, allora sanno con quale e-mail si sono registrati.

Quindi devo presumere che ti abbiano dato un indirizzo email al momento dell'iscrizione, ma non usarlo per accedere, usano una sorta di altro nome utente.

Se non conoscono l'indirizzo email, e non conoscono la password, devono fornire qualche modulo di prova di proprietà / controllo sul conto.

Non sapendo che cosa fa specificamente la tua app, non posso suggerire nulla, a parte, sosterrei l'accesso a qualsiasi cosa che solo il proprietario dell'account saprebbe (ad esempio il valore dell'ultimo conto bancario)?

Sì, questo era quello che doveva essere l'indirizzo email, ma forse potresti usare qualcos'altro per la verifica?

    
risposta data 02.05.2018 - 23:25
fonte
0

Durante la registrazione, è possibile inviare una e-mail all'utente contenente i dettagli del proprio account. Dì all'utente di conservare l'e-mail "per la tua registrazione". In questa email, potresti voler includere parole chiave ricercabili che non sono probabilmente presenti in altre email da te. Questa email non dovrebbe contenere credenziali sensibili (ad esempio password, token una tantum). La maggior parte dei provider di posta elettronica al giorno d'oggi dispone di una dimensione della casella di posta sufficiente in modo che la maggior parte degli utenti non abbia davvero bisogno di eliminare alcuna email.

Se un utente dimentica che se i loro account e-mail che hanno utilizzato per la registrazione, è possibile dire loro di cercare nelle loro caselle di posta elettronica l'e-mail di registrazione.

    
risposta data 01.08.2018 - 04:17
fonte
0

IMHO non c'è niente di sbagliato qui. È necessario mantenere l'indirizzo di posta utilizzato per la registrazione, poiché viene utilizzato per ogni accesso. Sto solo dicendo

we sent a verification code to a***@gmail.com

anche con l'indirizzo di posta completo non sembra sbagliato. Un indirizzo email è in effetti un dato personale e piuttosto sensibile, quindi non dovresti lasciarlo in un luogo pubblico, ma inviarlo in una comunicazione punto punto al presunto proprietario non è un difetto. Un utente malintenzionato dovrebbe comunque essere in grado di leggere la posta e l'utente (non tu) è responsabile della sua protezione.

Semplicemente si dovrebbe notare nelle condizioni di utilizzo che è possibile inviare tale e-mail se l'utente non riesce a ricordarlo. IANAL, ma prevedo sempre di avvertire del possibile invio di informazioni sensibili.

    
risposta data 01.08.2018 - 11:22
fonte

Leggi altre domande sui tag