web-dev-qa-db-ja.com

パスワードなしのフロー:ログイン時にユーザーが無効なメールを入力した場合の対処

私は自分のアプリをパスワードなしにするつもりで、ログインしようとする前に、サイトのアカウントで実際に使用していないメールをサイトに送信すると、サイトの実装が異なることを見てきました。

Medium に新しいメールを入れると、「確認のリンクを[email protected]にメールで送信しました。リンクをクリックして、アカウントの設定を完了してください。」というメッセージが表示されます。

これにより、サインアッププロセスが速くなりますが、このメッセージが十分に強力で、一部のユーザーに、これが使用されている新しいメールであることを明確にすることができるかどうかはわかりません。これは、既存のアカウントにどのメールが使用されたかを忘れていたユーザーを苛立たせる可能性があり、正しいメールで再度ログインする前に、新しいアカウントを使用していることを認識するまでに時間がかかります。ただし、そのシナリオは十分に頻繁に発生しない可能性があるため、UXを設計してそれを防ぐ価値はあります。

Zeit は設計を行うので、アカウントを持っていない場合に新しいメールを送信すると、「このメールアドレスに関連付けられているZEITアカウントはありません。サインアップを続行しますか?」というメッセージが表示されます。クリックして登録できます。

これにより、間違ったメールを使用したことに気付くことはありませんが、サインアップの手順が増えるため、ログインではなくログインをクリックしたことに注意を払っていなかったユーザーを混乱させる可能性があります。

良い流れとは何だと思いますか、それはなぜですか。

5
Gwater17

これは、ユーザビリティとプライバシーのトレードオフのシナリオだと思います。最もユーザーフレンドリーなオプションでは、実際にはアプリ全体のプライバシーとセキュリティが少し犠牲になります。

このSecurity Stackexchangeの記事 にはより詳細な回答がありますが、ここで要約してみましょう。

アプリケーションのアカウントにメールアドレスが使用されていることを確認すると、メールアドレスを知っているだけで、誰かがアプリを使用しているかどうかを誰かが知ることができます。つまり、メールアドレスがわかっていれば、「scifi-fanatics.com」に属していることを確認できます。これは一般的なプライバシーの問題ですが、健康関連サービスなどの法的に機密性の高い情報がアプリに含まれる場合、法的に機密/匿名に保つ必要がある場合は、さらに深刻になります(違法になる可能性もあります)。

1
Luke

私たちの(非常にニッチな)Webサイトでは、指定された電子メールへのメッセージ本文に一意のリンクを送信するときに、誰でもアカウントを作成できます。

私たちは、そのメールへの返信で十分な警告であると信じているため、人々が誤って重複したアカウントを作成してしまうことを選択しています。これは、私たちの対象読者に、まだ固定電話があり、Webブラウザーと電子メールツールを混同している人々が含まれているという事実にもかかわらずです。いくつかの余分なアカウントは、インターフェースのシンプルさを犠牲にしても少額です。

@Lukeの返答も支持します。

0
griswolf

この場合、プライバシーの問題から身を守ることができない平均的なユーザーにとっては、簡単なサインイン/サインアップよりも、認証は難しいが安全性が高いほうがよいと思います。

このようなほとんどの場合、ユーザビリティよりセキュリティを優先してください!

0

これはありそうもないシナリオである可能性があることにも同意しますが、特に、より頻繁にログインするユーザーは、それを経験する可能性が高く、最も忠実なユーザーに影響を与えるため、それを防ぐのは良いことです。

GravatarのAPIのようなものを使用して、サインアップを続行する前に入力中のメールに関連する画像を表示することを検討しましたか?ほとんどの場合プロフィール写真が関連付けられているため、ユーザーが間違ったメールを入力した可能性があることは、ユーザーにとってヒントになる可能性があります。

0
ghislaineguerin