¿Son peligrosas las páginas de inicio / registro combinadas y cómo mejorarlas?

Navega tus respuestas
14

Me gustaría codificar una página de inicio / registro combinada como la de la imagen de abajo.

Micolegadijoqueestopermitiráalosspammers/piratasinformáticosverquédireccionesdecorreoelectrónicoestánregistradasconnuestrosistemayestoesmalo.

Peroseguramenteestonoesdiferentedelaformaenquelospiratasinformáticospuedenverificarlasdireccionesdecorreoelectrónicoenunapáginaderegistronormaldondedice"este correo electrónico ya está en uso".

¿Mi colega tiene razón? ¿Es mi diseño más peligroso? Si es así, ¿por qué y cómo puedo modificarlo para mantener la interfaz de usuario minimalista de una página pero estar a salvo?

    
pregunta Richard 30.03.2016 - 16:37
fuente

3 respuestas

23
  

Pero seguramente esto no es diferente de la forma en que los piratas informáticos pueden obtener direcciones de correo electrónico de cheques en una página de registro normal donde dice "este correo electrónico ya está en uso".

Sí, tienes razón, y tu colega está equivocado. El problema también existiría si la página de registro no estuviera en la misma página que la página de inicio de sesión.

Cualquier medida preventiva para este problema puede implementarse independientemente de si tiene dos páginas o una página combinada (por ejemplo, podría mostrar y requerir un captcha cuando el usuario ingrese algo en los campos de registro, y obviamente en el backend puede establecer un límite de velocidad en el registro, pero no en el inicio de sesión, o ambos, para evitar también los intentos de fuerza bruta en el inicio de sesión).

Dicho esto, el diseño parece bastante confuso. No tengo claro que esta es también una página de inicio de sesión, y espero que muchas personas se vuelvan a registrar accidentalmente de nuevo porque no están seguros de cómo usar el formulario correctamente.

    
respondido por el tim 30.03.2016 - 17:14
fuente
10

Basado en la respuesta sugerida por el comentario de Michael en mi pregunta, he rediseñado la página para:

  • No le digas a nadie si el correo electrónico existe en nuestra base de datos al iniciar sesión
  • Dígales a las personas que existe un correo electrónico si se registran, pero tiene un CAPTCHA para evitar ataques automáticos

Lamentablemente, esto requiere un clic adicional por parte de los usuarios, pero no es el fin del mundo.

Nuevo diseño:

    
respondido por el Richard 30.03.2016 - 17:27
fuente
1

Creo que el formulario podría simplificarse de la siguiente manera:

Formulario inicial

Nombredeusuarioycontraseñasimples,condosbotones:"Iniciar sesión", que hace lo que dice que hace, y "Registrarse (soy nuevo)"

Si el inicio de sesión intentó con una dirección de correo electrónico que no está registrada, o si el usuario hace clic en "Registrarse", muestre el formulario de registro

Bastantesencillo...

Sieliniciodesesiónintentóconunadireccióndecorreoelectrónicoregistrada,peroconunacontraseñaincorrecta

Déleslaoportunidaddeintentarlodenuevooderestablecerlacontraseña.Quizásinclusomuestreelbotón"Restablecer contraseña" si intentan iniciar sesión con la misma dirección de correo electrónico pero con la contraseña incorrecta más de X veces.

Demasiadas contraseñas incorrectas: forzar el restablecimiento de la contraseña

    
respondido por el Luke Stevenson 31.03.2016 - 07:48
fuente

Lea otras preguntas en las etiquetas

¿Regulaciones que especifican la longitud de la contraseña? Si alguien compró el TLD local. ¿Podría ser un riesgo para la seguridad?