È ragionevole consentire l'accesso a Google per le persone che si sono registrate "normalmente"?

3

Ho pensato - diciamo che un utente si iscrive al tuo sito nel modo "standard". Cioè, inseriscono un indirizzo e-mail, magari un nome utente e una password, e completano la procedura di iscrizione. È quindi ragionevole, in termini di sicurezza, consentire in un secondo momento di accedere utilizzando l'autenticazione Google?

Ad esempio, considera il seguente flusso:

  1. Usidore si registra con il suo indirizzo e-mail, [email protected]
  2. Usidore si disconnette e dimentica il sito per un po '.
  3. Usidore, non ricordando quale metodo di registrazione ha usato, cerca di accedere con il suo account Google che ha l'e-mail [email protected] , ed è collegato al suo account originale.

Il mio fondamento logico è che l'account Google è (per quanto ne so) garantito dalla proprietà di chi ha accesso all'e-mail - l'utente. Nel caso in cui colui che ha accesso all'e-mail non sia l'utente, beh ... l'hacker potrebbe comunque eseguire una reimpostazione della password, in modo da non introdurre ulteriori buchi. Potrebbe anche essere più sicuro di così, grazie alla logica anti-hacking di Google sfocata.

Ora, questo sarebbe probabilmente rendere impossibile avere + -es nel tuo indirizzo e-mail, dato che Google li usa per uno scopo speciale mentre altri non . Correggimi se sbaglio, però, e potrebbe esserci un modo per farlo funzionare.

In ogni caso - sarebbe sicuro? C'è qualcosa che non sto considerando, e non sarebbe? Forse sarebbe solo sicuro per gli indirizzi Gmail per qualche motivo? Forse sarebbe sicuro solo se l'utente collega esplicitamente l'account Google all'account del sito (ma poi di nuovo, forse no, non ne ho idea). Mi piacerebbe saperlo.

    
posta obskyr 18.12.2016 - 12:34
fonte

2 risposte

1

Sì, molti siti Web lo consentono consentendo di collegare un account locale con l'account Google. Dovresti inviare un'email all'indirizzo email del vecchio account, richiedendo un clic / codice di conferma da tale email, piuttosto che richiedere / assumere la stessa email. Per quanto riguarda la sicurezza, questo non è diverso da una reimpostazione della password via e-mail.

Successivamente puoi consentire all'utente di facoltativamente disabilitare l'autenticazione locale e utilizzare l'autenticazione dell'account Google. Offri all'utente la possibilità, dato che alcuni utenti potrebbero voler accedere al tuo sito utilizzando macchine condivise / pubbliche senza dover autenticare il loro account di posta elettronica, in questo caso l'autenticazione locale può ancora essere utile in questo caso.

Quando un utente si registra per un nuovo account, è possibile comunicare all'utente che esiste già un account con la stessa e-mail con un diverso metodo di autenticazione. È quindi possibile chiedere loro di accedere o reimpostare la password sul vecchio account per collegare l'account al nuovo metodo di autenticazione. Per i nuovi utenti, dovrebbero anche essere autorizzati a creare un account con solo l'autenticazione dell'account Google, senza creare l'autenticazione locale.

    
risposta data 19.12.2016 - 01:25
fonte
-2

Penso che più opzioni di accesso, più possibilità di hacking. Se l'utente ha solo un modo per accedere, può essere violato, ma se ha due possibilità di accesso, ora ci sono due possibilità di essere hackerati, il modo normale e l'account google che ha un'altra password diversa.

Hai ragione a pensare che Google abbia buoni meccanismi anti-hacking ... ma non lo sai mai. Forse l'utente può essere hackerato su LAN, sniffato o sslstripped o chissà.

A mio parere, è sufficiente l'accesso con utente standard / password convalidata per posta. Ma mettere l'opzione di accesso di Google è forse più perché altri motivi diversi dalla sicurezza.

    
risposta data 18.12.2016 - 13:07
fonte

Leggi altre domande sui tag