Non chiedono la verifica dell'email sulla creazione dell'account

2

Potremmo considerarlo un difetto di sicurezza per non chiedere una verifica tramite email per la creazione dell'account?

Diciamo che c'è un servizio che ti chiede di inserire un indirizzo email come nome utente e password per creare un account. Quindi, non appena premi il pulsante "crea account", il tuo nuovo account è pronto e non ti verrà mai chiesto di verificare il tuo indirizzo email.

La prima cosa che ti viene in mente è che non sarai in grado di recuperare questo account se non possiedi l'indirizzo email, ma è anche possibile sfruttare il fatto che non ci sono verifiche via email per negare possibili utenti al servizio?

Ad esempio, se possiedo una società concorrente, potrei creare un account utilizzando l'e-mail dei miei clienti su quell'altro sito Web aziendale e impedirei effettivamente a quei clienti di creare un account utilizzando il loro indirizzo email preferito per quell'altra azienda.

È semplicemente fastidioso per l'utente provare a creare un account e rendersi conto che il tuo indirizzo e-mail è già stato preso mentre hai chiaramente non creato un account, ma, sul web, tutto ciò che infastidisce i tuoi utenti farà perdi clienti.

Nota

Sto facendo questa domanda perché credo che una domanda precedente sia stata fraintesa e sto assumendo nell'altra domanda che questo è un problema. Quindi, per favore, aiutami a capire se questo è un problema.

    
posta Gudradain 10.02.2016 - 19:41
fonte

1 risposta

4

La risposta alla tua domanda probabilmente dipende da un paio di fattori.

  • È possibile utilizzare l'indirizzo e-mail utilizzato per la registrazione per reimpostare la password. Sarebbe un errore da una prospettiva di sicurezza e usuabilità fare ciò in cui l'indirizzo e-mail non è stato convalidato durante la registrazione come errore di battitura durante la registrazione potrebbe effettivamente bloccare l'account, se hai dimenticato la password meccanismi). Inoltre, se si registra utilizzando un indirizzo e-mail di qualcun altro (per qualsiasi motivo), in questo caso possono rubare l'account in modo efficace in quanto possono semplicemente attivare un ripristino e assumere il controllo.

  • C'è qualche conseguenza del mondo reale per qualcuno che usa un indirizzo e-mail che non possiede. Ad esempio, se un utente registra fraudolentemente come [email protected], otterrebbe qualche risultato relativo alla sicurezza in cui potrebbe rappresentare erroneamente Bill Gates?

Quindi le conseguenze dipendono molto dalla natura del sito in questione e sono difficili da precisare in astratto.

    
risposta data 10.02.2016 - 19:55
fonte

Leggi altre domande sui tag