2

ユーザーが存在しない電子メールのパスワードのリセットを要求した場合の最良の動作は何でしょうか。

コンテキスト:ユーザーはログインしていません。ユーザーはメールアドレスを入力してリセットボタンを押すだけです。

  1. アカウントが存在しないことをすぐにリセットを要求しているユーザーに伝えると、それは少しのセキュリティホールとプライバシーの問題の両方です。
  2. 私が何もせず、それが無実の間違いである場合(彼らはアカウントを持っていると思っていました)、彼らは一体何が起こったのか疑問に思うでしょう。最も神秘的なオプションであり、悪用される可能性が最も低い。
  3. パスワードのリセットが要求されたが、アカウントがないことを通知する電子メールを送信できます(そして、何とか何とか何とか無視する必要があります)。これは最も害が少ないように見えますが、少し悪用される可能性があります。

更新:さらに検討すると、 1が大したことではありません。なぜなら、同じ電子メールにサインアップ/使用しようとするだけで同じ情報を取得できるからです...何かが足りない場合を除いて...

4

4 に答える 4

2

私は個人的にこのように行きます:

  1. ユーザーが電子メール アドレスを入力します。
  2. 画面には、「リクエストが処理され、電子メールが送信されました」などと表示されます。
  3. この電子メール アドレスにリンクされたアカウントがない場合: メールを送信しないでください。
  4. この電子メールにリンクされたアカウントがある場合: 通常の「そうでない場合は、このメールを無視してください。不正使用の疑いがある場合は、$foobar に連絡してください」という通常のメッセージを含むリセット電子メールを送信します。

アカウントがこの電子メール アドレスにリンクされているかどうかを誰にも言わない理由は次のとおりです。プライバシー。全員に伝えれば、全員が $person が $service を使用しているかどうかを確認できます。

そのようなユーザーがいない場合にメールを送信しない理由を含めると思いました: なぜ私はすべきですか? ユーザーはおそらく、自分が使用したメール アドレスを知っているか、一度に複数のメール アドレスを試します (または短時間待つだけです)。もちろん、それらのメールを送信した方がユーザーフレンドリーになる場合もありますが、悪用の可能性を否定するほど重要ではありません。1 つの Web サイトだけがそのようなことを行う場合 (短期間に複数のメールを送信しない限り)、悪用の可能性はあまりありませんが、すべての Web サービスがこのようになることを想像してみてください。これらのサービスのいくつかを集めて、迷惑メールフィルターにヒットすることなく、「あなた」が嫌いな人にメール爆弾を送信する必要があります!

于 2012-04-09T22:31:38.853 に答える
0

個人的に、私は次のファンです:

  • ユーザーがメールアドレスを入力します。
  • メールが存在するかどうか、リクエストされたことを伝え、すぐにメールが届かない場合は、もう一度やり直すか、お問い合わせください。
  • 電子メールに、パスワード要求が送信されたことを記載し、それがユーザーでない場合は、電子メールを無視します。

また、

  • ボットがサイトをスクレイピングしてメールを送信することを心配している場合は、キャプチャを追加してください。
  • 人々がアカウントをハッキングすることを心配している場合は、秘密の質問の回答を求める2番目のレイヤーを追加します。
于 2012-04-09T21:04:18.707 に答える
0

私はこのようなことをします

  • ユーザー名またはメールアドレスを尋ねる
  • その電子メールまたはユーザー名が存在する場合は、すべての電子メールをその人に送信し、パスワードをリセットします。

終了した :)

于 2012-04-09T22:40:25.307 に答える
0

私の意見では、3 番目のオプションは、使いやすさとセキュリティの間の最良の妥協点です。オプション 1 は、プライバシーの問題が大きすぎるようです。オプション 2 を使用すると、ユーザーは自分がアカウントを持っているかどうかを知ることができませんが、別の電子メール アドレスで登録されているか、またはリセット システムが機能していないかどうかを知ることができません。

于 2012-04-09T21:10:23.043 に答える