web-dev-qa-db-ja.com

ユーザーがメールを確認していないときに「パスワードを忘れた」場合の対処方法

メールを確認せずにユーザーがアプリケーションへのアクセスを許可するパターン(一般的には適切なUXと見なされます)に従う場合、ユーザーがパスワードを忘れた場合の対処方法を教えてください。サイトには個人の健康情報が含まれているため、この特定のケースでは非常に重要です。

明らかに、メールをまだ確認していないため、リセットの手順を記載したメールを送るのは適切ではありません。私は4つの解決策を思いつきましたが、どれもそうではありません。

  1. たとえば、メールを確認していない場合は、1週間後にユーザーをフリーズします。その後、この1週間の猶予期間中は、メールを復元できません。 (パスワードを忘れたときにメールアドレスが登録されているかどうかを明らかにすることはセキュリティ上の問題であり、確認されていないためにパスワードのリセットが利用できないことを実際に伝えることはできません)。

  2. サインアップに「セキュリティの質問」を追加します。かなり明白な理由で悪い。

  3. メールを確認せずにサイトを使用させないでください。また悪い。

  4. 確認済みのメールがなくてもパスワードを回復できるようにしますが、サイトにテキストを追加します。「メールを確認していない場合、誰かがあなたの個人の健康情報にアクセスする可能性があります。」これは、登録するまで画面上部のバナーに表示され、選択したメールアドレスにメールを再送信するオプションがあります。これは、すべての最悪のセキュリティケースかもしれません。

何か案は?

24
cminu

メールアドレスが確認されるまでパスワードを要求しないでください。

問題がなくなった!

段階的なエンゲージメントのプロセスを使用し、メールアドレスのみを尋ねることから始めます。

それまでの間、サイトを閲覧するように招待するか、いくつかの紹介情報を案内してください。ただし、メールが確認されるまで、セキュリティ関連の操作は行わないでください。

必要に応じて、メールアドレスを表示または変更したり、確認メールを再送信したりしてください(たとえば、何らかの理由で表示されない場合があります)。

こちらが Gravatar からの登録フォームです

enter image description here

編集:このメカニズムの最大の欠点は、その後メールアドレスへのアクセスを失った人のためのアカウント回復であることを私に伝えますそして、彼らが識別されるのを助ける別の電子メールアドレスを登録することに煩わされていません。

14
Roger Attrill

パスワードを忘れた場合は、確認メールを再送信してみてください。したがって、ユーザーは古いEメール(登録ステップで指定)で新しい確認を受け取り、確認後、標準の手順を使用してパスワードをリセットできます。

また、確認するまで機能を制限することもできます(ユーザーに読み取りを許可し、書き込みを許可しないなど)。これにより、ユーザーはメールをすばやく確認し、メールが正しく入力されていることを確認するなどの動機になります。

1
alexeypegov

サイトに他の機能がある場合は、ログインしているユーザーが確認済みのメールなしでそれらの機能にアクセスできるようにします。ただし、機密情報にリンクしたい場合は、確認済みのメールが必要です。

1
jackslash

簡単な答えは、電子メールアドレスが確認されておらず、セキュリティに関心がある場合は、パスワードのリセットを(決して)許可してはならないということです。

秘密の質問は、もう1つのはるかに安全性の低いバージョンのパスワードであり、セキュリティに大きな害を及ぼします。

メール確認を再送信する唯一の実際のオプション。ただし、メールが確認されない限り、誰もアカウントにログインさせないでください。これを行えば、そもそもこの問題は発生しません。

1
JohnGB

特に個人情報が関係する場合は、3が唯一の賢明なオプションです。ユーザーがこれの重要性を理解していない場合、彼は自分の健康記録をコピーして自分のFacebookアカウントに貼り付ける可能性があるため、とにかく彼を除外したい場合があります...

登録済みドメインのキャッチオールメールボックス、つまり、メールボックス名またはそのエイリアスが存在しない場合に、各メールとすべてのメールが送信されるメールボックスを取得します。定期的に、私は正確にこれらのメールをそこで受け取ります:あなたは私たちのサービスに登録しました、確認してください。ほとんどの場合、偽のメールアドレスを使用してゲームサイトに登録し、ドメインを選択することを希望する2〜3人のユーザーと同じです。

もちろん、私は確認しません。彼らが違法なことをするなら、サービスは私のドメインにリンクされた私の確認済みメールアドレスを持っているでしょう。そこでプレイしたい場合は、自分のアドレスでプレイできます。そして、それが、ユーザーが何もできないようにするもう1つの理由です。罪のないメールアドレスの所有者を保護するためです。私がキャッチオールを手に入れなければ、私はこれについてさえ知りません。

悪意のある場合は、パスワードをリセットしてアカウントを入力するだけです。 10年ほど前に、サービスに確認を必要としないメールが届きましたが、代わりにアカウント名とユーザーが選択した初期パスワードをプレーンテキストで登録確認として送信しました...

1
Secure

私が頭に浮かんでいる質問(セキュリティについて話している他のすべての回答に対するいくつかの回答を含む)よりも多く、回答リストに追加しています...そして、既に尋ねられた質問の複雑さに追加しています。

私たちがここでレビューする方法はたくさんあります...しかし、すべてにフローがあります。レビューしてみましょう。

  1. ユーザーにパスワードを忘れることを許可しません。
    • パスワードを忘れたアカウントは、投稿されたすべてのスペースで失われます
  2. 開始時に確認メールを送信します(登録後)。
    • システムがそのメールを送信できない可能性があります
    • ユーザーは当面ウェブサイトを無視して、メールが失われたときに戻ってくる場合があります
  3. 最初に確認メールを送信しますが、ユーザーが確認メールを紛失した場合は、別の確認を再送信します(当然、トークンには時間制限があり、デフォルトでは、その時間までに期限が切れます)
    • ユーザー(ハッカー)が忘れたパスワードをリセットするための電子メールアドレスにアクセスできる場合、それを確認するためのアクセス権も必要です。なぜそれを気にするのですか?
  4. 段階的なプロファイルの完了を許可する場合は、
    • それは、ソーシャルネットワークを作成しているようなもので、禁止されたユーザー、または類似のケースやいくつかの特殊なケースを禁止したい場合は、ほとんどの場合、ユーザーは登録時に主な機能にすぐにアクセスする必要があります。
  5. 秘密の質問?
    • 誰もが悪いと言っています...私には論理的な手掛かりはあまりありませんが、ほとんどの場合、意図が悪い人はあなたの近くにいます...

そして...「壁にぶつかる」(失敗)可能性のある他の多くのケースなので、ユーザーがアカウントを失うと、後で彼らは予備のメールを使用する必要があり、次回は覚えていません...(ほとんどの場合クライアントは私たちほどインテリジェントではありません)(彼らはそうですが、彼らは試したり学んだりすることを気にしません)、彼らのメインの電子メールはパスワードを忘れたアカウントでブロックされるため、またはセキュリティが低くなるか、アカウントを削除する必要があり、データ全体を再作成するか、ログインのたびにユーザーに強制的に電子メールの確認(彼が残す可能性があります)を使用させたり、パスワードをリセットしたりします。

浮き沈みのある非常に多くのソリューションがあります

最適な解決策は何ですか?コメントしてください...

私もあなたの選択を知りたいです

更新

ところで、考慮すべき情報のケースがもう1つあります...

ユーザーがパスワードを忘れた場合:

  1. ユーザーは、「パスワードのリセットリンク」を要求すると、メールアドレスが自分のメールアドレスであることを自動的に確認します。これは、メールでパスワードのリセットリンクをアクティブにすることだけが可能で、それ以外の場合はキーを取得できないためです。以前メールやメールサーバーが危険にさらされた場合は、いずれにしてもそれは彼にとっては終わりです。
0
deadManN

私はあなたが心配している状況を理解していることを確認したいだけです:

  1. 彼らはサイトにサインアップし、メールアドレスを提供しました。
  2. システムはこのアドレスに電子メールを送信し、リンクをクリックするように要求しました。
  3. 彼らはリンクをクリックしませんでした。
  4. その後、彼らはサイトにアクセスしたいと思っていますが、パスワードを忘れてしまいました。

今、あなたは言う:

明らかに、メールをまだ確認していないため、リセットの手順を記載したメールを送るのは適切ではありません。

私はちょっと確信が持てません。次のいずれかです。1.彼らは実際に電子メールを誤って入力し、確認電子メールもパスワードのリセットも正しい人に届きません。または2.彼らはそれを正しく入力し、おそらく確認メールがそれを作成し、パスワードリセットメールも作成しました。

彼らが以前に確認ボタンをクリックしていなかったという事実は、どういうわけかそれ自体がセキュリティの弱点であると心配しているように思われますか?

ケース1では、スタックしています。彼らは私たちにそれらを検証することを可能にするいかなる情報も決して提供しませんでした。個人の健康情報が問題になっている場合、「良いUX」のためにセキュリティを犠牲にすることはできないと思います。

ケース2では、確認メールを再送信するオプションを提供します。おそらくあなたは彼らに彼らのメールアドレスをもう一度言うように頼むでしょう(それが彼らのログインでない場合)。

0
Steve Bennett