Mi sono spostato su un progetto in cui stanno implementando un sistema in cui l'indirizzo e-mail di un utente può essere utilizzato più volte da persone diverse, ovvero gli utenti possono registrarsi tutte le volte che vogliono con un indirizzo e-mail poiché non esiste un vincolo univoco . La teoria è che non avranno un effettivo accesso all'account e-mail quindi non è un problema.
Non riesco a pensare a problemi con questo, ma qualcosa su questo approccio non mi sembra giusto. L'indirizzo e-mail non viene utilizzato come identificatore univoco anche se le persone accedono con esso, ma quali potenziali problemi, se esistenti, potrebbero aumentare con questo approccio?
Modifica - La reimpostazione di una password non invia un'email, la loro teoria è che se l'utente ha rubato il telefono, probabilmente hanno accesso all'indirizzo e-mail sul telefono. Al contrario, devono inserire domande di sicurezza / rispondere ad altre domande per creare un nuovo account (motivo per cui desiderano consentire indirizzi di posta elettronica duplicati). La mia preoccupazione è che questo in qualche modo crea un nuovo vettore di attacco per gli hacker ma non riesco a capire come e io potrei semplicemente sbagliarmi.
Grazie