È una cattiva pratica accettare il numero di telefono o l'email come nome utente?

Question

È una cattiva pratica accettare il numero di telefono o l'email come nome utente?

#1 da (2 voti)

0

Su un sito Web in cui tutte le informazioni degli utenti (riga Username, Email e numero di telefono) sono memorizzate in modo sicuro e nascosto (da altri utenti e dal mondo pubblico), è una cattiva pratica accettare l'indirizzo email o il numero di telefono o il nome utente stesso come username con una password e un captcha?

Su questa domanda , è stato detto che il principale rischio è che l'email possa essere utilizzato con la stessa password in modo da compromettere l'account può portare a entrare nell'account di posta elettronica dell'utente. Se l'e-mail dell'utente viene visualizzata sul suo profilo resistito, non importa quale metodo venga usato dall'hacker per rompere l'account, conoscerà l'e-mail e la password tra l'altro.

Se tali informazioni sono protette e nascoste, è una cattiva pratica utilizzare questo tipo di implementazione? Se sì, quali sono i contro e i dubbi?

authentication email user-names password-cracking phone

posta Amirreza Nasiri 29.01.2017 - 00:12

fonte

1 risposta

Leggi altre domande sui tag authentication email user-names password-cracking phone

Dati sicuri in memoria (applicazione C # .Net) Quanto è efficace un algoritmo di modifica della password di base rispetto al riutilizzo della password

score 2 · Answer 1

Non dal punto di vista della sicurezza, ma è meno probabile che le persone siano disposte a fornire il proprio numero di telefono o entrino in uno falso. Quindi ti suggerisco di usare il numero di telefono solo se la tua applicazione ha davvero bisogno di quelle informazioni.

Non mi interesserebbe che le persone riutilizzassero le loro password, non è un tuo problema. Questo indebolisce la sicurezza solo se il servizio di posta elettronica è compromesso e la password è trapelata. In quasi tutti i casi gli utenti useranno giganti come Gmail, che utilizzano varie misure di sicurezza aggiuntive per impedire agli hacker di accedere alla password dell'account. Solo un semplice e potente algoritmo di hashing sarebbe abbastanza dalla loro parte.

È la stessa cosa dalla tua parte. Se ti interessano i tuoi utenti, memorizzi le loro password come hash, come probabilmente già fai. Se si diventa vittima di una violazione e in qualche modo l'utente malintenzionato scopre le password non corrette dei propri utenti, è assolutamente una loro responsabilità e stupidità se l'utente malintenzionato accede al suo account e-mail con le stesse credenziali. Ma lascia che non sia il caso, salva tutto in sicurezza:)