Mejores prácticas para comunicar enlaces en el correo electrónico

Lo más importante es asegurarse de que las personas realmente cambien sus contraseñas, por lo que es tan fácil como sea posible hacer clic en un enlace y recordarlo después de que sea importante. Primero, definitivamente debe convertirlo en un enlace https, nunca debe señalar a las personas una conexión insegura para cambiar una contraseña.

En cuanto al formato de los datos, no hay una respuesta particularmente acertada, simplemente puede ocultar el enlace detrás del texto como "Cambie su contraseña" a la:

<a href="https://www.example.com/passwordreset">Change Your Password</a> que se vería así: Cambie su contraseña

o podrías tener un enlace desnudo

<a href="https://www.example.com/passwordreset">https://www.example.com/passwordreset</a> que se vería así: enlace

La mayoría de los navegadores y programas de correo electrónico reconocen automáticamente los enlaces ya sea que estén envueltos en html o no, por ejemplo, simplemente escribí enlace en, pero la mayoría de los navegadores mostrarán un enlace.

La mayoría de los usuarios no memorizan los enlaces para ser honestos y no recordarán su URL de restablecimiento de contraseña, aunque algunos podrían hacerlo, así que si ese es un objetivo importante, tiene sentido poner el enlace.

Una política que he visto utilizada por algunos bancos y agencias gubernamentales en los Países Bajos nunca es incluir ningún enlace en los correos, sino simplemente referirse a "nuestro sitio web" o "nuestro portal web".

La idea principal aquí es que explícitamente les dicen a los clientes que nunca hagan clic en ningún enlace en los correos electrónicos (supuestamente) que provienen de ellos. De esta manera, esperan reducir la posibilidad de que las personas visiten los enlaces mencionados en los correos de phishing e ingresen sus credenciales allí.

Las personas siempre están obligadas a ingresar la URL de la página web en su navegador (o usar marcadores), lo que puede ser un poco inconveniente al verla desde una perspectiva de UX, pero puede funcionar como una medida de seguridad.

Lamentablemente, no tengo idea de cuán efectivo es esto, y por lo tanto si es una estrategia útil.

Como han dicho otros, no hay manera de proporcionar una garantía a sus usuarios de que el enlace que encuentran en su correo es seguro: mientras que generalmente hay una manera fácil para que los usuarios verifiquen a dónde los llevará un enlace, es imposible para automatizar eso de forma remota: tendrá que confiar en la detección realizada por el cliente de correo.

Sin embargo, hay algunas cosas que puede hacer para mejorar la situación general:

• NUNCA utilice servicios de acortamiento de URL (TinyURL, etc.)
• Implemente un control de origen adecuado en su correo electrónico saliente: configure correctamente SPF y DKIM hará que sea más difícil falsificar sus correos electrónicos y, por lo tanto, facilitará que sus usuarios confíen en sus correos (no está garantizado, pero es mucho mejor que nada) ).
• Siempre envíe correos desde el mismo dominio. Esto también debe incluir marketing por correo electrónico. Esto hace que sea más fácil para el usuario detectar intentos de phishing.
• Si puede, firme digitalmente TODOS sus correos electrónicos (a través de S / MIME) con un certificado X509 válido. Lamentablemente, no hay (AFAIK) equivalente a hsts para SMTP o correo electrónico en general. Sin embargo, puede incluir un descargo de responsabilidad en todos sus mensajes sobre el hecho de que todos los mensajes salientes deben estar firmados.