대부분의 로그인 양식은 사용자 & 패스를 사용합니다.전자 메일을 사용자 이름으로 사용하는 것에 대한 장단점은 무엇입니까?
일부 이메일은 &으로 전달됩니다. 그 찬반 양론은 무엇입니까? 여기에 내가 생각한 것이있다. 이메일의
총
CONS
웹 응용 프로그램의 사용 용이성이 간과해서는 안되는 중요한 사항이기 때문에 이것이 프로그래밍과 관련 있다고 생각합니다.
전자 메일 (pro) - 계정 생성 스팸을 줄이기 위해 전자 메일을 보내 계정을 확인할 수 있습니다.
전자 메일 주소를 사용하여 계정에 연결하고 해당 전자 메일 주소로 계정을 확인할 수 있습니다. 인증을위한 사용자 이름이있는 경우에도 변경되지 않습니다. 나는 그것을 비록 추천한다. – TheJacobTaylor
실제로 사용자가 가입했는지 여부에 관계없이 가입하는 모든 사이트는 이메일 주소를 요청합니다. – DisgruntledGoat
스팸 전자 메일 계정을 만들고 자동 응답 기능을 사용하도록 설정하는 데 단지 몇 초가 걸립니다. 사용자가 자신의 계정을 활성화하기 위해 이메일에 응답해야하는 모든 유형의 온라인 포럼을 관리 해본 경험이 있다면 스팸 발송자가 전혀 느려지지 않는다는 것을 빨리 알 수 있습니다. –
전자 메일 주소를 변경하는 방법을 제공하는 한 전자 메일은 좋은 사용자 이름입니다. LinkedIn은 이메일을 사용자 이름으로 사용하여 계정을 생성 할 때이를 제공합니다. 또한 기본 이메일 주소를 변경 (일단 로그인)하면 사용자 이름이 해당 이메일 주소로 변경됩니다.
다음과 같이하면 모든 설정을해야합니다.
무언가가 발생하고 분실 한 비밀번호로 이메일 주소를 복구 할 수없는 경우 계정 복구를 위해 이메일 또는 전화 통신 형식을 사용하는 것이 좋습니다. 내 의견으로는 사용자 이름이나 전자 메일을 사용자 이름으로 사용하는지 여부에 관계없이 어쨌든이 정보가 있어야합니다. 계정 인구 통계를 사용하여 사용자가 자신이 말하는 사람인지 확인하십시오. – Phillip
OpenID 및 OAuth ..... 더 나은 것으로 보입니다. 더 적은 사용자도 관리 할 수 있으며 변경시 한 곳에서 쉽게 마이그레이션 할 수 있습니다.
예,주의해야합니다. 백업 이메일 주소 (추가 프로필 입력란)가 사용자에게 사용중인 이메일 주소와 다르다고 주장합니다. 많은 시스템에는 일이 정말로 털이 나면 스스로를 인증하는 데 사용할 수있는 다른 필드가 있습니다. 그러나이 시점에서 기술 지원 요청이 자주 필요할 것입니다.
시스템 유형에 따라 전자 메일을 사용하는 것이 보안 문제 일 수 있습니다. 나는 당신의 이메일 주소를 안다. 나는 당신이 사용자 이름 프롬프트에 무엇을 넣을 지 모른다. 쉽게 사용자 이름을 추측 할 수 있다면 문제는 이메일 주소를 사용하지 않을 것입니다.
그리고 더 쉽게하기 위해 Auth0.com과 같은 타사 서비스를 사용하도록 제안 할 수 있습니다. 다른 OAuth 공급자에게 이미 연결되어 있으므로 Active Directory와 같은 다른 인증 방법을 지원합니다. 앱은 휴대용이며 안전하며 사용자의 정보를 공개 할 필요가없는 JWT에서 작동 할 수 있습니다. –
단점 : 웹 사이트 및 전자 메일과 같은 응용 프로그램에서 사용자 이름을 공유해야하는 경우 보안 문제가 발생할 수 있습니다. 예를 들어 웹 사이트의 사용자 이름에 액세스 할 수있는 사용자는 이메일이 사용자 이름에 사용되는 경우 이메일 주소에 액세스 할 수 있습니다. 일반적으로 이것은 문제가 아니지만 문제 일 수 있습니다.일반적인 로그인 절차가 없거나 보안이 중요하지 않은 경우가 아니면 응용 프로그램간에 사용자 이름과 암호를 구분하는 것이 일반적으로 좋은 정책입니다.
일반적으로 전자 메일 주소에 액세스 할 수있는 사용자 이름에 액세스 할 수있는 경우 일반적으로 사용자 이름에 액세스하려면 일부 데이터베이스 액세스가 필요하기 때문입니다. 데이터베이스에 대한 액세스 권한이 있으면 더 많은 사용자 이름에 액세스 할 수 있습니다. 적어도 내 의견을. – Phillip
이메일 주소를 사용할 때 pwng0d69가 Jon Skeet으로 알려지기를 원할 때처럼 회원이 사용자 이름을 변경하는 것이 더 쉽습니다. 그러나 이메일 주소를 묻는 사이트마다 개인적으로 또 다른 잠재적 스팸 메일 출처가 있습니다.
사용 오픈 ID :
CON : 그것은 사용자와 스팸 사이에 하나 적은 절연 층이다. 어떻게 든 누군가가 사용자 이름의 전체 목록을 얻으면 모든 사용자를 스팸하게 할 수 있습니다. 그러나 사이트가 이메일을 보조 필드로 사용하여 사용자 이름을 사용하는 경우 이는 문제가되지 않습니다.
물론 모든 사용자 데이터를 얻지 않는 한,하지만 그보다 훨씬 큰 문제가 있습니다.
PRO는 :
예 : 일부 서비스는 인터넷을 통해 특정 사용자를 식별하기위한 전자 우편에게 표준을 고려하고있는 것으로 보인다 http://www.techcrunch.com/2009/08/14/google-points-at-webfinger-your-gmail-address-could-soon-be-your-id/
CON : 이것은 아직까지도 발생하지 않았으며 현재 OpenAuth 및 OpenID와 같은 많은 옵션이 있으며 현재 지원되고 있습니다 (Facebook 확산을 사용하여 로그인 할 수도 있습니다).
앱의 대상 잠재 고객이 무엇이든 정체성을 위해 원하는대로 맞춤 설정하십시오.
회사 소유권 변경으로 변경을 요구하기 전에 Arena Solutions '제품 수명주기 관리'소프트웨어를 사용했습니다. 모든 민감한 회사 데이터가 해외 어딘가에서 호스팅되고 어디서나 브라우저를 통해 액세스 할 수있는 거래 중 하나였습니다.
Arena PLM은 매우 안전하다고 선전되었지만 (기본) 동작은 전자 메일 주소를 사용자 이름으로 요구하는 것이 었습니다. 만료 날짜가있는 강력한 암호는 허용되었지만 암호가 만료되면 다른 암호를 선택하거나 이전 암호를 계속 사용할 수 있다고 들었습니다.
나는 보안 요구가 데이터 전송을위한 SSH의 사용을 기반으로 한 생각하지만, 그것은 나에게 보였다
그것은 강력한 암호 의 사용 및 갱신이을 시행해야 함을 물론, 의미한다.
나는 b2b 앱을 위해이 작업을 수행했으며 사용자가 클라이언트 회사를 떠날 때 누군가가 이전 비활성화 이메일 주소를 로그인으로 사용하고 Google에서 이메일을받지 않도록 고의적으로 변경하지 않을 때 매우 고통 스럽습니다.
Google은 사안을 수정하기 위해 전화를 반송하고 지원하는 비밀번호 재설정 이메일로 끝납니다.
저는 보안이 관련된 전문가보다 그 단점이 더 중요하다고 생각합니다.많은 회사가 이메일 주소를 재활용하므로 사용자가 이메일 주소를 더 이상 사용하지 않으면 (이메일 계정을 삭제 한 경우) 다른 사람이 사용할 수 있도록 재활용 될 수 있습니다.
그런 경우 다른 사람이 귀하의 조직으로부터 정기적 인 서신을받을 수 있습니다. 이렇게하면 새 사용자가 이전 계정 사용자가 귀하의 조직에 로그인하는 데 사용되었다는 것을 알 수 있습니다. 보안 질문과 같은 추가 검사없이 간단한 전자 메일 기반 암호 재설정을 사용하는 경우 지금 소유하고있는 전자 메일 주소를 사용하여 암호를 복구하면 해당 사용자의 계정에 액세스 할 수 있습니다.
은행 계좌를 프로그래밍하지 않으 셨길 바랍니다. USBank.com은 이메일이 아닌 사용자 이름을 사용합니다. 나 또한 신용 조합에 대한 계좌를 가지고 있으며 전자 메일을 사용하지 않고 계좌 번호를 사용합니다. 계좌 번호는 재활용하지 않습니다.
보안이 최우선 인 경우 전자 메일을 사용하지 마십시오.
보통 사용자 이름과 재설정 암호 링크를 보내는'암호를 잊으셨습니까? '링크가 있다고 생각합니다. 따라서 사용자 이름으로 로그인하더라도 (전자 메일 아님) 전자 메일 주소를 재활용하면 위험 할 수 있습니다. (로그인 식별자를 공개하는 정기적 인 서신이 발송되지 않았기 때문에 안전하다고 생각하지 않습니까?) – KajMagnus
@KajMagnus :: 예,하지만 적어도 자신의 계정으로 이메일 주소를 업데이트 할 수는 있습니다 이메일 주소. 응용 프로그램이 원래 전자 메일 주소로 전자 메일을 보내서 전자 메일 주소를 변경해야한다는 확인을 요청하면 [내가 전에 본 적이있는] 다음에 실수를하게됩니다. 또한 고객 번호 (예 : 아빠가하는 것처럼) 나 PIN 또는 전화 번호 등을 통해 다른 보안 확인을 인증 할 수있는 경우 * [보통] 재설정 비밀번호 링크 * 만 전송합니다. 비밀번호 허용 2 차 점검없이 리셋하는 것은 noobish입니다. –
전자 메일을 사용자 이름으로 사용할 때 발생할 수있는 또 다른 문제는 "사용자 수확"공격입니다. 예를 들어 "전자 메일 변경"페이지가 있거나 새 사용자를 만들 때 새 사용자가 이미있는 전자 메일을 삽입하면 응용 프로그램에서 오류를 다시 보내야합니다. 결과적으로 공격자는 간단한 스크립트를 실행하여 응용 프로그램의 모든 사용자를 검색 할 수 있습니다 (사용자가 없을 경우 추가됩니다)
이것은 다음과 같이 해결할 수 있습니다. 사이트는 전자 메일의 존재 여부를 알려서는 안됩니다. 그것은 단순히 메일이 존재하는지 아닌지에 따라 정립 된 적절한 텍스트로 새롭게 입력 된 이메일로 메일을 보내야합니다. 사이트의 즉각적인 응답을 통해 메일이 발송되었음을 알리고 사용자에게 자신의 사서함을 확인하도록 알려줍니다. – Magnus
계정을 공개로 설정하려는 경우 사용자 이름을 요구하지 않는다는 것은 "표시 이름"을 허용해야 함을 의미합니다 (전자 메일 주소는 표시하지 않음). 그러나 사용자가 실제 이름을 사용하려면 중복 된 이름을 사용할 가능성이 있습니다 (SO 사진이없고 동일한 이름의 주석 작성자는 전체 프로필을 클릭하지 않으면 같은 사람임을 가정합니다. 이 경우 고유 한 표시 이름 (실제 이름을 사용하지 못하도록 할 수 있음)을 강요하거나 혼란스런 사람들 주위에 두 개의 Bob Johnson이있을 수 있음을 인정해야합니다.
잊어 버린 비밀번호는 이전 이메일 주소를 포기한 경우 이메일 주소가 사용자 ID인지 여부는 중요하지 않습니다. –
나는 당신의 견해를 공유합니다. 전자 메일은 당연한 고유 한 사용자 이름이었습니다. 나는 무엇이 잘못되었는지 모른다. 어쨌든 다음 사용자 ID는 OpenID입니다. –
[사용자 아이디로 이메일 주소를 사용하는 것에 대한 장단점은 무엇입니까?] (http://stackoverflow.com/questions/647172/what-are-the-pros-and-cons-of-using) 사용자 아이디로 전자 메일 주소) –