C'è qualche rischio per un Email di attivazione?
Il mio sito ASP.NET è impostato in modo che un utente debba controllare la propria posta elettronica e fare clic su un collegamento di attivazione costituito da un GUID creato come ID utente nelle tabelle dell'appartenenza SQL.
C'è un'applicazione di terze parti che contiene un'Email, un numero ID di 4 cifre non così segreto per ogni potenziale utente, quindi l'utente deve utilizzare questa e-mail e ID insieme per registrare un account, l'account non è "approvato" "fino a quando non attivano il loro account utilizzando il link nell'email inviata a questa email. solo i dipendenti possono impostare l'e-mail e l'ID nell'applicazione di terze parti.
Questo sito gestisce la registrazione di una sottoscrizione email di informazioni semi-privilegiate, questo sito in realtà non gestisce l'invio via email delle informazioni semi-privilegiate.
Oltre all'ingegneria sociale, qual è il rischio associato a questa configurazione per la registrazione dell'utente?