Técnicas de confirmación por correo electrónico en los sitios principales

Navega tus respuestas
2

La forma en que entendí tradicionalmente que las confirmaciones de correo electrónico funcionen es que el usuario se registra en el sitio con su correo electrónico y luego para iniciar sesión deben verificar su correo electrónico.

Si no han verificado su correo electrónico, simplemente no pueden iniciar sesión. Noté que algunos sitios web importantes, por ejemplo, le permiten registrarse e iniciar sesión sin verificación por correo electrónico.

Por ejemplo, Twitter le permite registrarse, una vez que lo registra, se registra. Aparece un mensaje que debe verificar su correo electrónico para usar el sitio, pero el sitio aún se puede usar sin él.

Facebook también tiene un procedimiento similar en el que puedes iniciar sesión sin verificar. La mayoría de las funciones también están disponibles, como poder escribir en los servidores (publica tweets y estados) y leer información.

Mi pregunta es ¿cuál podría ser el proceso de pensamiento aquí? Si permite que las personas inicien sesión sin verificar, ¿para qué sirve la verificación por correo electrónico? ¿Cómo proporciona la verificación de correo electrónico mucha seguridad adicional?

    
pregunta user2924127 29.06.2015 - 18:37
fuente

3 respuestas

4

La verificación del correo electrónico no proporciona seguridad adicional. Simplemente valida que el usuario recién registrado es el propietario legítimo de esa dirección de correo electrónico.

Por razones de seguridad, una mejor práctica para un sitio web sería no enviar ningún correo electrónico a una dirección de correo electrónico no confirmada . Esto evita que se filtre información a alguien que haya escrito mal su dirección de correo electrónico.

De todos modos, debería alentar a los usuarios a que confirmen su dirección de correo electrónico rápidamente: muy a menudo, la dirección de correo electrónico es la forma principal de recuperar una contraseña perdida. Un usuario con una dirección de correo electrónico no confirmada y una contraseña perdida se arruinaría si no hubiera otra forma de recuperar su contraseña.

Además, si la dirección de correo electrónico mal escrita es realmente la dirección de otra persona, esta persona puede confirmar la dirección de correo electrónico y usar la recuperación de contraseña para obtener acceso a la cuenta original del usuario.

    
respondido por el ForguesR 29.06.2015 - 22:02
fuente
1

El propósito de la verificación de correo electrónico para la mayoría de los servicios es garantizar la singularidad del usuario (y por lo tanto, con suerte, la humanidad) para que el proveedor pueda resistir tener muchas legiones de cuentas de correo no deseado configuradas con facilidad (aún es posible, pero es más difícil) . Al obtener una respuesta, el servicio puede negar a los futuros usuarios de esa dirección de correo electrónico tener una cuenta única, y no tener que usar ninguna técnica especial propia para hacerlo (del tipo que usaría un dominio con buena reputación, como enviar un SMS). o jadeo cobrando por el servicio.)

Está pensando en ello como una forma de validar la identidad / autenticidad del usuario, lo que en realidad no es el punto de una "verificación" de correo electrónico a pesar de las pretensiones. Para hacer eso, un sitio emplearía una forma de verificar a un usuario contra fuentes de información gratuitas (registros judiciales, etc.) o, más popularmente, utilizarían un conjunto de preguntas de estilo de informe de crédito. En su mayor parte, al sitio no le importa quién eres o si eres quien dices que eres, siempre y cuando no vayas a hacer spam a través de su servicio (ya que ganar dinero con los globos oculares es su trabajo).

A su pregunta exacta, una vez que la dirección de correo electrónico se atribuye a la cuenta, se realiza el trabajo, y la verificación es solo para más adelante si / cuando haya alguna pregunta sobre la singularidad del usuario.

    
respondido por el Jeff Meden 29.06.2015 - 19:55
fuente
0

La verificación del correo electrónico detiene el correo no deseado y valida que el usuario tenga este correo electrónico. Antes de enviar al usuario un mensaje de correo electrónico (o algún mensaje confidencial como el banco), sabe que está enviando este mensaje a este usuario, que no se ha equivocado al escribir la dirección, y nadie más.

    
respondido por el Vilican 29.06.2015 - 18:55
fuente

Lea otras preguntas en las etiquetas

Se olvidó la contraseña del archivo PDF.zip y se debe restablecer [duplicar] ¿Qué impacto tiene la frecuencia de los restablecimientos de contraseñas en la reutilización de contraseñas?