Ricordami contro Ricorda Email

Naviga le tue risposte
1

Da quanto ho notato, ci sono pochissimi servizi che offrono il Remember Email su Remember Me o Sign-in Automatically .

Queste opzioni rendono davvero la vita più facile per l'utente finale delle applicazioni. Sono fermamente convinto che Remember Email sarebbe meglio se facessimo che l'utente inserisse la sua password nel campo della password. Inoltre, aumenterebbe la sicurezza con questo metodo (ad esempio CreditKarma come esempio).

Sarebbe più sicuro se facciamo Remember Email e facciamo in modo che i nostri utenti inseriscano le loro password ogni volta che devono accedere ai sistemi?

    
posta Traven 14.07.2014 - 05:48
fonte

2 risposte

1

Posso spiegartelo prendendo alcuni esempi

Il primo è che hai permesso di "mantenere l'accesso" sul tuo sito web, quindi ci sono possibilità di accesso non autorizzato se il computer dell'utente viene dirottato o è nelle mani di una persona non autorizzata. Una persona malintenzionata sarà in grado di ottenere tutte le informazioni che risiedono nell'account. Tuttavia, ci sono meno possibilità che la persona sia in grado di fare qualsiasi attività dannosa come fare una transazione o cambiare la password e / o e-mail. Questi richiedono ad un utente di inserire la password corrente.

Il secondo caso è che hai abilitato "Ricorda email". L'utente è relativamente più sicuro rispetto al caso precedente, è probabile che ci sarà un accesso non autorizzato all'account. Tuttavia, esiste una piccola possibilità di perdere l'account se sul computer è presente malware o si dice keylogger. L'utente perderà il controllo sull'account, ma succede soprattutto nel caso di attacchi mirati.

Dal mio punto di vista, consentire l'opzione "Memorizza e-mail" è un'opzione migliore rispetto all'opzione "Mantieni l'accesso".

    
risposta data 14.07.2014 - 07:55
fonte
1

Discutibile davvero. Per quanto mi riguarda, preferirei che il sistema non ricordasse l'e-mail / nome utente, in quanto utilizzo un gestore di password che precompilerà sia il nome utente che la password. Per un sistema sicuro, l'utente ha davvero bisogno di mantenere il proprio scopo nel rendere il suo uso del sistema il più sicuro possibile - il che significa utilizzare un gestore di password o ricordare una password complessa. Nel caso di quest'ultimo, chiedere all'utente di reinserire il proprio indirizzo email è banale rispetto alla password complessa.

Inoltre, potrebbe esserci un problema di privacy con la funzionalità di ricordare me nel caso in cui l'indirizzo di posta elettronica sia memorizzato nel testo in chiaro nel cookie. Questo cookie verrà inviato con ogni richiesta al dominio (anche per i file di immagine o le pagine accessibili senza login) e potrebbero finire nei log del server. Sì, l'utente avrà accettato che il sistema ricordi il proprio indirizzo email, ma potrebbe non rendersi conto che la sua email viene ricodificata in questo modo. Inoltre, questo verrà memorizzato in testo normale sul lato client senza la conoscenza dell'utente. Un modo più sicuro sarebbe quello di generare un ID sicuro per il lato del server di indirizzi email e utilizzare questo token per cercare l'indirizzo email.

    
risposta data 15.07.2014 - 10:11
fonte

Leggi altre domande sui tag

Sicurezza dell'invio di informazioni allo stdout Cosa deve verificare un cliente dopo aver ottenuto un certificato client?