Quels sont les avantages et les inconvénients de l'utilisation d'un e-mail comme nom d'utilisateur? [fermé]

OpenID et OAuth.....Ça semble juste mieux. Encore moins d'utilisateurs à gérer pour eux et il rend la migration dans un endroit plus facile sur un changement.

Oui, vous devez être prudent. J'insiste pour que l'adresse e-mail de sauvegarde (un champ de profil supplémentaire) soit différente de l'adresse e-mail qu'ils utilisent pour l'utilisateur. Beaucoup de systèmes ont aussi d'autres domaines qui peuvent ensuite utiliser pour s'authentifier si les choses deviennent vraiment velues. À ce stade, cependant, il faudrait souvent un support technique téléphonique.

selon le type de système, l'utilisation du courriel peut constituer une vulnérabilité de sécurité. Je connais votre adresse e-mail, Je ne sais pas ce que vous pourriez mettre dans une invite de nom d'utilisateur. Si être capable de deviner facilement un nom d'utilisateur est un problème, alors je ne voudrais pas utiliser l'adresse e-mail.

Email crée un bon nom d'utilisateur tant que vous fournissez un moyen de changer l'adresse email. LinkedIn fournit ceci lorsque vous créez un compte avec un email comme nom d'utilisateur. Ils vous permettent également (une fois connecté) pour modifier l'adresse e-mail principale qui devient alors votre nom d'utilisateur à cette adresse e-mail.

tant que vous faites quelque chose comme ça, vous devriez être prêt.

un autre problème qui peut survenir lors de l'utilisation du courriel comme nom d'utilisateur est "user harvesting" attack. Par exemple, si vous avez une page "change email" ou lors de la création d'un nouvel utilisateur, si le nouvel utilisateur insère un email qui existe déjà, alors l'application devra renvoyer une erreur. Par conséquent, un attaquant peut découvrir tous les utilisateurs de l'application en exécutant un script simple (dans le cas où l'utilisateur n'existe pas, il sera ajouté )

je crois que les inconvénients l'emportent sur les avantages en matière de sécurité. De nombreuses entreprises recyclent les adresses e-mail, par conséquent, si un utilisateur n'utilise plus une adresse e-mail (supprimé son compte e-mail), il pourrait être recyclé en arrière pour n'importe quelle autre personne à utiliser.

Dans ce cas, toute autre personne peut recevoir de la correspondance périodique de votre organisation. Cela permet au nouvel utilisateur de savoir que l'utilisateur précédent du compte avait l'habitude d'avoir un login avec votre organisation. Si vous utilisez simple email le mot de passe basé réinitialise, sans vérifications supplémentaires telles que des questions de sécurité, alors tout ce qu'ils ont besoin de faire est de récupérer le mot de passe en utilisant l'adresse email qu'ils possèdent maintenant et ils ont accès au compte de cette personne.

j'espère que vous ne programmez pas pour une banque. USBank.com utilise un nom d'utilisateur et pas un e-mail. J'ai aussi un compte dans une coopérative de crédit et ils n'utilisent pas de courriel non plus, mais plutôt des numéros de Compte qu'ils ne recyclent jamais.

Si la sécurité est la priorité, jamais utiliser courriel.

Email (pro)-lessens compte-spamming de création de compte parce que vous pourriez confirmer leur compte en leur envoyant un email.

Con: Lorsque vous avez besoin qu'un nom d'utilisateur soit partagé entre des applications telles que le site web et le courriel, cela peut soulever des problèmes de sécurité. Par exemple, quiconque a accès aux noms d'utilisateurs du site web aura également accès aux adresses courriel si le courriel est utilisé pour le nom d'utilisateur. Ce n'est généralement pas un problème, mais il pourrait l'être. Il est généralement une bonne politique de garder les noms d'utilisateur et les mots de passe séparés entre les applications à moins qu'il n'y ait une procédure de connexion commune, ou à moins que la sécurité n'est pas important.

CON: c'est une couche d'isolation en moins entre l'utilisateur et les spammeurs. Si, en quelque sorte, quelqu'un dispose d'une liste de noms d'utilisateurs, ils seraient en mesure de spam tous vos utilisateurs. Mais si le site utilise des noms d'utilisateur, avec des e-mails comme champ secondaire, ce n'est pas un problème.

sauf s'ils obtiennent toutes les données utilisateur, bien sûr, mais c'est un problème beaucoup plus grand de toute façon.

j'ai fait cela pour les applications b2b et c'est une vraie douleur quand un utilisateur quitte une entreprise client une autre personne utilise l'ancienne adresse e-mail désactivée comme une connexion et volontairement ne pas la changer pour éviter de recevoir un e-mail de nous.

nous nous retrouvons avec un email de réinitialisation de mot de passe qui rebondit et soutient les appels pour corriger les choses.

une autre note si vous allez permettre aux comptes d'être publics est que ne pas exiger un nom d'utilisateur signifie que vous devez autoriser un "nom D'Affichage" (vous ne seriez certainement pas montrer une adresse e-mail), mais si vos utilisateurs veulent utiliser leurs noms réels, il ya un potentiel de noms dupliqués qui pourrait causer de la confusion (pensez deux si commentateurs sans images et le même nom, l'hypothèse est que c'est la même personne à moins que vous avez cliqué sur un profil complet). Dans ce cas, vous feriez soit forcer un nom D'affichage unique (qui pourrait empêcher quelqu'un d'utiliser un vrai nom) ou tout simplement accepter que vous pouvez avoir deux Bob Johnson traîner autour de personnes confuses.

lorsque vous utilisez des adresses e-mail, il est plus facile pour un membre de changer son nom d'utilisateur, par exemple quand pwng0d69 veut être connu sous le nom de Jon Skeet. Cependant, pour chaque site qui demande mon adresse e-mail, personnellement, je me heurte encore à une autre source de spam potentiel.

Use Open ID :)

PRO: il semble que certains services envisagent de faire de l'e-mail la norme pour identifier un utilisateur spécifique sur le net:

par exemple,http://www.techcrunch.com/2009/08/14/google-points-at-webfinger-your-gmail-address-could-soon-be-your-id/

CON: Cela ne s'est pas encore produit, et il y a beaucoup d'autres options comme OpenAuth et OpenID qui sont autour maintenant et ont un certain soutien (vous avez également connexion en utilisant Facebook spreading).

il suffit d'adapter votre choix d'identité à n'importe quel public cible de votre application sera.

nous avons utilisé le logiciel de gestion du cycle de vie des produits D'Arena Solutions avant qu'un changement de propriétaire de l'entreprise n'impose un changement. C'était l'un de ces accords où toutes vos données sensibles d'entreprise est hébergé quelque part en mer et pourrait être consulté par navigateur de n'importe où.

Arena PLM a été présenté comme hautement sécurisé, mais le comportement (par défaut) était d'exiger une adresse e-mail comme nom d'utilisateur. Il a permis des mots de passe forts avec une date d'expiration, mais quand mon mot de passe expiré j'ai été dit que je pourrais choisir un autre, ou tout simplement continuer à utiliser l'ancienne!

je pense que la sécurité des réclamations étaient fondées sur l'utilisation de SSH pour les transferts de données, mais il me semblait déterminée personne peut se connecter car

• Les noms d'utilisateurs ont été publiquement disponibles adresses email, et
• il y avait beaucoup de temps pour deviner un mot de passe parce qu'un utilisateur paresseux n'en choisirait pas un nouveau.

Cela signifie, bien sûr, que l'utilisation et le renouvellement des mots de passe forts doivent être appliquées à l'.