He estado pensando: digamos que un usuario se registra en su sitio de la manera "estándar". Es decir, ingresan una dirección de correo electrónico, tal vez un nombre de usuario y una contraseña, y completan el proceso de registro. ¿Es entonces, desde el punto de vista de la seguridad, razonable permitirles más tarde iniciar sesión con la autenticación de Google?
Por ejemplo, considere el siguiente flujo:
- Usidore se registra con su dirección de correo electrónico,
[email protected]
- Usidore cierra la sesión y se olvida del sitio por un tiempo.
- Usidore, sin recordar qué método de registro utilizó, intenta iniciar sesión con su cuenta de Google que tiene el correo electrónico
[email protected]
, y ha iniciado sesión en su cuenta original.
Mi razonamiento es que la cuenta de Google (hasta donde sé) tiene la garantía de ser propiedad de la persona que tiene acceso al correo electrónico: el usuario. En caso de que la persona que tiene acceso al correo electrónico no sea el usuario, bueno ... el pirata informático podría realizar un restablecimiento de la contraseña de todos modos, por lo que no debería introducir ningún agujero adicional. Incluso podría ser más seguro que eso, gracias a la lógica difusa anti-piratería de Google.
Ahora, este probablemente imposibilitaría tener +
-es en su dirección de correo electrónico, ya que Google los usa para un propósito especial mientras que otros sitios no . Sin embargo, corríjame si me equivoco y podría haber una manera de hacer que eso funcione.
En cualquier caso, ¿sería esto seguro? ¿Hay algo que no esté considerando, y no sería? ¿Quizás solo sea seguro para las direcciones de Gmail por alguna razón? Tal vez solo sería seguro si el usuario vincula explícitamente la cuenta de Google a la cuenta del sitio (pero, de nuevo, tal vez no; no tengo idea). Me encantaría saberlo.