È "utile aggiornare / confermare il tuo indirizzo email" effettivamente utile?

Naviga le tue risposte
0

Steam mi ha appena chiesto "Questo è ancora il tuo indirizzo email? [email_address_qui]"

Questa è un'applicazione su PC di cui mi fido, quindi sono sicuro al 100% della sua legittimità.

Vorrei sapere della utilità . Ricevo periodicamente questo tipo di richieste da dozzine di app o servizi online, ed è un po 'una perdita di tempo.

  • Abbastanza facile da fare clic su "Sì, ancora il mio indirizzo email", 1 secondo e finito. Oh aspetta ...
  • Vogliono inviare una email di conferma a quell'indirizzo email.
  • Devo attivare la mia app di posta elettronica, accedere, trovare l'email, copiare l'URL,
  • Avvia l'altro browser che uso per questo e incolla l'URL,
  • e poi vogliono che effettui l'accesso. Ugh. [Steam no, ma molti lo fanno.]

Che cosa fa veramente tutto questo veramente ? Aiuta veramente la mia sicurezza in qualche modo? In che modo mi aiuta affinché confermino un'email che conosco è valida? Non mi dispiace essere un partner in sicurezza, ma questo mi sembra assolutamente insignificante. Puoi spiegare che cosa fa veramente?

Sto solo cercando il valore di InfoSec. Non mi importa meno di valore di marketing, valore di impegno o considerazioni UX (è un dato che non sono buoni).

    
posta Harper 16.03.2018 - 01:08
fonte

3 risposte

2

Oltre ai valori UX evidenti, questa pratica (se eseguita correttamente, come Steam) aiuta effettivamente a mitigare gli account rubati.

Questo è ciò che Steam fa con tutte le e-mail (sia in aggiornamento che periodicamente)

  • Chiedi all'utente per email / Chiedi all'utente l'email è ancora valida per lui / lei.
  • Convalida l'email selezionata con un token una tantum che viene trasmesso a un determinato indirizzo email.
  • L'utente utilizza 'link' / 'token' per convalidare il recupero della posta elettronica (questo NON richiede l'autenticazione, né l'AUTENTICAZIONE dell'utente)
  • Steam notifica all'utente che tale messaggio è ora considerato valido per l'utente e verrà utilizzato per gli annunci di sicurezza relativi al suo account (token di accesso per 2FA, attività sospette ecc.)

Ora, dal momento che molte persone usano l'account e-mail del loro provider, ci sono molti casi in cui questo cambia nel tempo. Questi passaggi aiutano a notificare all'utente quale e-mail viene utilizzata, convalidano che il suo server di posta elettronica è ancora alla pari e funziona per tale utente (ciò avviene attraverso le rigide impostazioni di consegna della posta sul MTA di Steam). E che l'utente possa effettivamente ricevere notifiche quando qualcosa di relativo alla sicurezza accade all'utente (una violazione o perdita di password o qualcosa del genere).

    
risposta data 16.03.2018 - 15:41
fonte
2

È molto importante assicurarsi che gli indirizzi email degli utenti siano precisi. Quasi sempre, il proprietario dell'indirizzo e-mail è il proprietario di ogni singolo account che si lega ad esso.

Per questo motivo, è ovvio che è nell'interesse sia dell'utente che del venditore controllare periodicamente che l'utente e il venditore siano d'accordo su quale indirizzo di posta elettronica è legato all'account. È ragionevole chiedere all'utente "Ehi, stai ancora utilizzando @ .com?"

Lo sfregio arriva quando il venditore chiede nuovamente all'utente di ripetere la procedura di verifica. Come hai detto, è noioso e richiede tempo. Il processo di verifica iniziale è importante: non si desidera consentire agli utenti di registrare account che non possiedono per un servizio. Nel migliore dei casi è una seccatura o un errore. Nel peggiore dei casi, può essere oggetto di molestie o di tentativi di compromettere futuri account legittimi.

Una volta verificato l'account e-mail, il compromesso tra il valore e i turni del tedio, il problema principale che la ri-verifica cerca di risolvere è se un utente perde l'accesso alla sua e-mail e non lo sa. Questo non è irragionevole se un utente usa un'e-mail set-and-forget per iscriversi ai servizi, ma non so che sia abbastanza comune per essere degno di fastidioso per tutti gli utenti.

    
risposta data 16.03.2018 - 15:55
fonte
1

Questa non è una misura di sicurezza, ma un problema di "autorizzazione per la posta elettronica" e un problema di pulizie di marketing.

Cresce il desiderio di servizi di chiedere agli utenti di ri-optare per le comunicazioni via email su base regolare (annuale). Questa domanda di "conferma" agisce di fatto come opt-in.

Inoltre, i sistemi di gestione dei clienti sono migliori se i dati sono aggiornati e i sistemi CM hanno molte informazioni obsolete. Recentemente sono state fatte molte ricerche su queste informazioni obsolete, e i risultati indicano che i servizi vogliono sapere se i dati che hanno sono attuali.

Quindi, no, questo non è per sicurezza.

    
risposta data 16.03.2018 - 15:40
fonte

Leggi altre domande sui tag

Un servizio CDN come Cloudflare protegge da attacchi Brute Force o solo da DDoS? In che modo gli hacker possono ottenere 1 miliardo di password al secondo?