メールを確認せずにユーザーがアプリケーションへのアクセスを許可するパターン(一般的には適切なUXと見なされます)に従う場合、ユーザーがパスワードを忘れた場合の対処方法を教えてください。サイトには個人の健康情報が含まれているため、この特定のケースでは非常に重要です。
明らかに、メールをまだ確認していないため、リセットの手順を記載したメールを送るのは適切ではありません。私は4つの解決策を思いつきましたが、どれもそうではありません。
たとえば、メールを確認していない場合は、1週間後にユーザーをフリーズします。その後、この1週間の猶予期間中は、メールを復元できません。 (パスワードを忘れたときにメールアドレスが登録されているかどうかを明らかにすることはセキュリティ上の問題であり、確認されていないためにパスワードのリセットが利用できないことを実際に伝えることはできません)。
サインアップに「セキュリティの質問」を追加します。かなり明白な理由で悪い。
メールを確認せずにサイトを使用させないでください。また悪い。
確認済みのメールがなくてもパスワードを回復できるようにしますが、サイトにテキストを追加します。「メールを確認していない場合、誰かがあなたの個人の健康情報にアクセスする可能性があります。」これは、登録するまで画面上部のバナーに表示され、選択したメールアドレスにメールを再送信するオプションがあります。これは、すべての最悪のセキュリティケースかもしれません。
何か案は?
メールアドレスが確認されるまでパスワードを要求しないでください。
問題がなくなった!
段階的なエンゲージメントのプロセスを使用し、メールアドレスのみを尋ねることから始めます。
それまでの間、サイトを閲覧するように招待するか、いくつかの紹介情報を案内してください。ただし、メールが確認されるまで、セキュリティ関連の操作は行わないでください。
必要に応じて、メールアドレスを表示または変更したり、確認メールを再送信したりしてください(たとえば、何らかの理由で表示されない場合があります)。
こちらが Gravatar からの登録フォームです
編集:このメカニズムの最大の欠点は、その後メールアドレスへのアクセスを失った人のためのアカウント回復であることを私に伝えますそして、彼らが識別されるのを助ける別の電子メールアドレスを登録することに煩わされていません。
パスワードを忘れた場合は、確認メールを再送信してみてください。したがって、ユーザーは古いEメール(登録ステップで指定)で新しい確認を受け取り、確認後、標準の手順を使用してパスワードをリセットできます。
また、確認するまで機能を制限することもできます(ユーザーに読み取りを許可し、書き込みを許可しないなど)。これにより、ユーザーはメールをすばやく確認し、メールが正しく入力されていることを確認するなどの動機になります。
サイトに他の機能がある場合は、ログインしているユーザーが確認済みのメールなしでそれらの機能にアクセスできるようにします。ただし、機密情報にリンクしたい場合は、確認済みのメールが必要です。
簡単な答えは、電子メールアドレスが確認されておらず、セキュリティに関心がある場合は、パスワードのリセットを(決して)許可してはならないということです。
秘密の質問は、もう1つのはるかに安全性の低いバージョンのパスワードであり、セキュリティに大きな害を及ぼします。
メール確認を再送信する唯一の実際のオプション。ただし、メールが確認されない限り、誰もアカウントにログインさせないでください。これを行えば、そもそもこの問題は発生しません。
特に個人情報が関係する場合は、3が唯一の賢明なオプションです。ユーザーがこれの重要性を理解していない場合、彼は自分の健康記録をコピーして自分のFacebookアカウントに貼り付ける可能性があるため、とにかく彼を除外したい場合があります...
登録済みドメインのキャッチオールメールボックス、つまり、メールボックス名またはそのエイリアスが存在しない場合に、各メールとすべてのメールが送信されるメールボックスを取得します。定期的に、私は正確にこれらのメールをそこで受け取ります:あなたは私たちのサービスに登録しました、確認してください。ほとんどの場合、偽のメールアドレスを使用してゲームサイトに登録し、ドメインを選択することを希望する2〜3人のユーザーと同じです。
もちろん、私は確認しません。彼らが違法なことをするなら、サービスは私のドメインにリンクされた私の確認済みメールアドレスを持っているでしょう。そこでプレイしたい場合は、自分のアドレスでプレイできます。そして、それが、ユーザーが何もできないようにするもう1つの理由です。罪のないメールアドレスの所有者を保護するためです。私がキャッチオールを手に入れなければ、私はこれについてさえ知りません。
悪意のある場合は、パスワードをリセットしてアカウントを入力するだけです。 10年ほど前に、サービスに確認を必要としないメールが届きましたが、代わりにアカウント名とユーザーが選択した初期パスワードをプレーンテキストで登録確認として送信しました...
私が頭に浮かんでいる質問(セキュリティについて話している他のすべての回答に対するいくつかの回答を含む)よりも多く、回答リストに追加しています...そして、既に尋ねられた質問の複雑さに追加しています。
私たちがここでレビューする方法はたくさんあります...しかし、すべてにフローがあります。レビューしてみましょう。
そして...「壁にぶつかる」(失敗)可能性のある他の多くのケースなので、ユーザーがアカウントを失うと、後で彼らは予備のメールを使用する必要があり、次回は覚えていません...(ほとんどの場合クライアントは私たちほどインテリジェントではありません)(彼らはそうですが、彼らは試したり学んだりすることを気にしません)、彼らのメインの電子メールはパスワードを忘れたアカウントでブロックされるため、またはセキュリティが低くなるか、アカウントを削除する必要があり、データ全体を再作成するか、ログインのたびにユーザーに強制的に電子メールの確認(彼が残す可能性があります)を使用させたり、パスワードをリセットしたりします。
浮き沈みのある非常に多くのソリューションがあります
最適な解決策は何ですか?コメントしてください...
私もあなたの選択を知りたいです
ところで、考慮すべき情報のケースがもう1つあります...
ユーザーがパスワードを忘れた場合:
私はあなたが心配している状況を理解していることを確認したいだけです:
今、あなたは言う:
明らかに、メールをまだ確認していないため、リセットの手順を記載したメールを送るのは適切ではありません。
私はちょっと確信が持てません。次のいずれかです。1.彼らは実際に電子メールを誤って入力し、確認電子メールもパスワードのリセットも正しい人に届きません。または2.彼らはそれを正しく入力し、おそらく確認メールがそれを作成し、パスワードリセットメールも作成しました。
彼らが以前に確認ボタンをクリックしていなかったという事実は、どういうわけかそれ自体がセキュリティの弱点であると心配しているように思われますか?
ケース1では、スタックしています。彼らは私たちにそれらを検証することを可能にするいかなる情報も決して提供しませんでした。個人の健康情報が問題になっている場合、「良いUX」のためにセキュリティを犠牲にすることはできないと思います。
ケース2では、確認メールを再送信するオプションを提供します。おそらくあなたは彼らに彼らのメールアドレスをもう一度言うように頼むでしょう(それが彼らのログインでない場合)。