Problema de seguridad con el correo electrónico de confirmación

Navega tus respuestas
4

Tengo una aplicación y, cuando inician sesión por primera vez, les envío un correo electrónico de confirmación clásico. Cuando los usuarios necesitan volver a instalar la aplicación, a veces los usuarios envían mensajes a nuestro soporte diciendo: "No recuerdo el correo electrónico utilizado para registrar mi cuenta, ¿cómo puedo tener el código de verificación?"

Esto es bastante molesto, así que pensé en enviar a los usuarios un mensaje como 'enviamos un código de verificación a a***@gmail.com' pero me preocupa los problemas de seguridad y las políticas de protección de datos. ¿Qué piensas? ¿Podría ser esto un problema de seguridad? ¿Conoces una mejor manera?

    
pregunta JungleFever 02.05.2018 - 16:51
fuente

3 respuestas

2

La reinstalación no debería necesitar un código de verificación, si tienen su nombre y contraseña para iniciar sesión. Reinstale en un dispositivo nuevo, inicie sesión, allí está su cuenta.

El restablecimiento de la contraseña, por otro lado, implica que han perdido / olvidado la contraseña, pero aún saben su nombre de usuario. Si su nombre de usuario era su correo electrónico, sabrán con qué correo electrónico se han registrado.

Tengo que asumir que te dieron una dirección de correo electrónico cuando se registraron, pero no lo utilices para iniciar sesión, usan otro tipo de nombre de usuario.

Si no conocen la dirección de correo electrónico, y no conocen la contraseña, deben proporcionar alguna forma de prueba de propiedad / control sobre la cuenta.

No sabiendo lo que su aplicación hace específicamente, no puedo sugerir nada, aparte de ¿el soporte tendría acceso a algo que solo el propietario de la cuenta sabría (por ejemplo, el valor del último saldo bancario)?

Sí, eso es lo que se suponía que era la dirección de correo electrónico, pero ¿quizás podrías usar otra cosa para la verificación?

    
respondido por el JesseM 02.05.2018 - 23:25
fuente
0

Durante el registro, puede enviar un correo electrónico al usuario con los detalles de su cuenta. Dígale al usuario que mantenga el correo electrónico "para su registro". En este correo electrónico, es posible que desee incluir palabras clave de búsqueda que probablemente no se encuentren en otros correos electrónicos suyos. Este correo electrónico no debe contener ninguna credencial confidencial (por ejemplo, contraseñas, tokens de una sola vez). Hoy en día, la mayoría de los proveedores de correo electrónico tienen un tamaño de buzón suficiente para que la mayoría de los usuarios nunca tengan que eliminar ningún correo electrónico.

Si un usuario olvida cuáles de sus cuentas de correo electrónico usaron para registrarse, puede pedirle que busque en sus buzones de correo electrónico su correo electrónico de registro.

    
respondido por el Lie Ryan 01.08.2018 - 04:17
fuente
0

En mi humilde opinión no hay nada malo aquí. Debe conservar la dirección de correo que se utilizó para el registro, ya que se usa para cada acceso. Sólo digo

  

enviamos un código de verificación a a***@gmail.com

incluso con la dirección de correo completa tampoco parece mal. Una dirección de correo electrónico es, de hecho, una información personal y bastante sensible, por lo que no debe dejarla en un lugar público, pero enviarla en un punto a punto, la comunicación al presunto propietario no es un error. Un atacante aún debe poder leer el correo, y el usuario (no usted) es responsable de protegerlo.

Simplemente debe tenerse en cuenta en las condiciones de uso que puede enviar ese correo electrónico si el usuario no lo puede recordar. IANAL, pero siempre prefiero advertir sobre un posible envío de información confidencial.

    
respondido por el Serge Ballesta 01.08.2018 - 11:22
fuente

Lea otras preguntas en las etiquetas

¿Puedo detectar un kit de herramientas de firmware como NightSkies en mi iPhone? DNS MITM Attack