¿Pedir contraseña después de la validación de correo electrónico?

4

No quiero hablar sobre los pros y los contras de la validación de correo electrónico, pero quiero saber si hay algún inconveniente (de seguridad y de otro tipo) para un usuario que ingresa su contraseña solo después de que ya haya validado su dirección de correo electrónico (haga clic en enlace de activación)?

El flujo sería:

  1. El usuario ingresa la dirección de correo electrónico.

  2. El usuario valida la dirección de correo electrónico a través del enlace de activación que recibió en su bandeja de entrada.

  3. El usuario ingresa la contraseña.

  4. El usuario accede a la aplicación web por primera vez.

pregunta Hawkken 02.11.2015 - 09:37
fuente

1 respuesta

3

Desde un punto de vista de seguridad, no puedo ver ningún problema con este flujo. En realidad, puede ser más seguro que solicitar los detalles del usuario y luego verificar la dirección de correo electrónico. Un usuario podría ingresar una dirección de correo electrónico incorrecta y dar acceso a su cuenta a un tercero aleatorio. En su escenario, no hay una cuenta para acceder.

Tendrá la posibilidad de que alguien enumere las direcciones de correo electrónico de usuarios existentes ingresando repetidamente la dirección de correo electrónico en la página de registro y buscando mensajes de error, pero eso también sería posible en un flujo tradicional de 'correo electrónico y contraseña juntos'. Siempre que ponga algún tipo de límite de tasa o captcha en esa página, debería estar bien.

Es posible que pierda algunos registros de usuarios de este flujo, siempre habrá usuarios que nunca se molesten en completar el paso de registro adicional. Dependiendo de qué servicio está ofreciendo, esto podría ser más o menos probable.

    
respondido por el Jay 02.11.2015 - 10:28
fuente

Lea otras preguntas en las etiquetas