Mejores prácticas en relación con la solicitud de activación del correo para reducir las fugas de información

5

Estamos configurando un servicio en nuestro sitio web que permite a los usuarios solicitar un nuevo enlace de activación. Para solicitar un nuevo enlace de activación, el usuario debe enviar su dirección de correo electrónico asociada a su cuenta.

Podemos tener 2 salidas, dependiendo de lo que tengamos que dar un mensaje de confirmación.

  1. El usuario está registrado pero la cuenta no está activa. El mensaje de confirmación será
  

El enlace de activación se ha enviado.

  1. El usuario está registrado y la cuenta ya está activa. El mensaje de confirmación será
  

La cuenta ya está activa. Si ha olvidado su contraseña, haga clic aquí.

Tenemos dudas sobre el segundo mensaje de confirmación. Dice demasiado sobre el hecho de que la cuenta ya existe. ¿Existen buenas prácticas o consejos de seguridad con respecto a este tipo de mensajes?

¿O tienes alguna sugerencia?

Editar 2017.03.17

Hemos implementado una nueva solución. No importa el resultado, mostraremos el siguiente mensaje:

  

Si está registrado, pronto recibirá un correo electrónico.

Sin embargo, el correo electrónico enviado dependerá de la salida:

  • Si la cuenta no está activa, le enviaremos el enlace de activación.
  • Si la cuenta ya está activa, le enviaremos un correo electrónico indicando que la cuenta ya está activa y explicando el procedimiento de "contraseña olvidada".

Esta solución parece ser la más apropiada en nuestra situación. Si tiene alguna otra sugerencia, por favor envíela.

    
pregunta BS_C3 16.03.2017 - 15:58
fuente

1 respuesta

0

Editar 2017.03.17

Hemos implementado una nueva solución. No importa el resultado, mostraremos el siguiente mensaje:

If you are registered, you will soon receive an email.

Sin embargo, el correo electrónico enviado dependerá de la salida:

If the account is not active, we will be sending the activation link.
If the account is already active, we will be sending an email saying that the account is already active and explaining the "password forgotten" procedure.

Esta solución parece ser la más apropiada en nuestra situación. Si tiene alguna otra sugerencia, por favor envíela.

    
respondido por el BS_C3 13.02.2018 - 09:37
fuente

Lea otras preguntas en las etiquetas