ユーザーごとに複数のメールを許可することの欠点は?
1つのメールを複数のアカウントで使用する方法についてはたくさんの情報がありますが、他の方法はどうでしょうか?私はサービスを構築しており、ユーザーが登録済みの電子メールを使用して、すべてに同じパスワードを使用してログインできるようにすることを検討しています。 「自分のアカウントは自分のメール」という考え方の代わりに、「自分のアカウントには自分のアカウントへのアクセスに使用できるメールがあります」という考え方を取り入れます。
攻撃者が発見できる侵入経路を増やすこと以外に、これにはセキュリティ上の欠点がありますか?
これは、一部の人気サイトではかなり一般的な方法です。免責事項、私はこれを自分のアプリケーションに対して行ったことはありませんが、私が言えることから、あなたが言及したこと以外は、実際にはセキュリティの面からではありません。箱から出してすぐにそのような振る舞いをサポートしようとしているパッケージが少ないので、それは実際に実装を検討することになります。ユーザーが使用できるメールアドレスの数の制限、通信手順(例:パスワードのリセットをメインのメールのみに送信するか、または添付メールを許可するか)、データベーススキーマなどについて考えます。
これは、ユーザーが複数の電子メールを使用してログインできるサイトの例です:github.com、facebook.com、internet.bs。
アカウントごとに複数のusenameを許可しても問題はありません。このパターンは最初から存在しているか、70年代のUnixシステムに存在します。ただし、一般的なパターンは、アカウントごとに1つのパスワードではなく、ユーザー名ごとに1つのパスワードを使用することです。 1つ目は、認証ソフトウェアとよりスムーズに統合し、銀行アプリケーションが参加アカウントのすべてのユーザーに1つのユーザーとパスワードのペアを提供できるようにすることです。
欠点は明らかです。弱点は電子メールです。 anyの電子メールアカウントがcomromisedの場合(公開されたpwnlistで見つかる可能性があります)、侵入者はログインできますあなたのウェブサイトに。
また、一部の電子メールアカウントが廃止になる可能性もあります。それらがあまりにも長い間使用されておらず、ハンドルが利用可能なプール(無料の電子メール)に返されているか、またはドメイン名にexpiredが含まれているため、削除され、再度登録可能になります。アカウント乗っ取りの機会があります(パスワードのリセットなど)。ユーザーが登録済みの電子メールアカウントのリストをサイトで最新の状態に維持することを期待していません...
ユーザーがconfusionのソースである可能性がある複数の電子メールでログインできる場合も、複数のリストを表示する機会を与えた場合、使用した電子メールアカウントを覚えていない可能性があります。 。利便性とセキュリティの間には常にトレードオフがあるはずです。ここに追加しようとしている利便性の種類はわかりません。