¿Es realmente útil "Actualizar / confirmar su dirección de correo electrónico"?

Navega tus respuestas
0

Steam me acaba de preguntar "¿Sigue siendo tu dirección de correo electrónico? [dirección_de_mail_com]]

Esta es una aplicación para PC en la que confío, por lo que estoy 100% seguro de su legitimidad.

Me gustaría saber acerca de su utilidad . Recibo este tipo de solicitudes periódicamente de docenas de aplicaciones o servicios en línea, y es una especie de tiempo perdido.

  • Lo suficientemente fácil como para hacer clic en "Sí, aún así mi dirección de correo electrónico", 1 segundo y listo. Oh, espera ...
  • Quieren enviar un correo electrónico de confirmación a esa dirección de correo electrónico.
  • Tengo que activar mi aplicación de correo electrónico, iniciar sesión, encontrar el correo electrónico, copiar la URL,
  • Inicia el otro navegador que uso para esto y pega la URL,
  • y luego quieren que inicie sesión. Ugh. [Steam no, pero muchos lo hacen]

¿Qué está haciendo realmente todo este rigmarole ? ¿Realmente ayuda mi seguridad de alguna manera? ¿Cómo me ayuda a que confirmen un correo electrónico que Sé que es bueno? No me importa ser un socio en la seguridad, pero esto parece completamente mezquino. ¿Puedes explicar qué bien hace en realidad?

Sólo estoy buscando el valor de InfoSec. No podría importarme menos el valor de marketing, el valor de compromiso o las consideraciones de UX (es un hecho que no son buenas).

    
pregunta Harper 16.03.2018 - 01:08
fuente

3 respuestas

2

Además de los valores UX obvios, esta práctica (si se realiza correctamente, como Steam) en realidad ayuda a mitigar las cuentas robadas.

Esto es lo que hace Steam con todos los correos electrónicos (tanto en actualización como periódicamente)

  • Preguntar al usuario por correo electrónico / Preguntar si el correo electrónico sigue siendo válido para él / ella.
  • Valide el correo electrónico seleccionado con un token de una sola vez que se transmite a la dirección de correo electrónico dada.
  • El usuario usa 'link' / 'token' para validar la recuperación del correo electrónico (esto NO requiere autenticación, ni AUTENIZA al usuario)
  • Steam notifica al usuario que dicho correo electrónico ahora se considera válido para el usuario y se usará para anuncios de seguridad relacionados con su cuenta (tokens de inicio de sesión para 2FA, actividad sospechosa, etc.)

Ahora, dado que muchas personas usan la cuenta de correo electrónico de su proveedor, hay muchos casos en que esto cambia con el tiempo. Estos pasos ayudan a notificar al usuario qué correo electrónico se está utilizando, valida que su servidor de correo todavía esté a la par y funcionando para dicho usuario (esto se realiza a través de una configuración de entrega de correo estricta en el MTA de Steam). Y que el usuario realmente puede recibir avisos cuando algo relacionado con la seguridad le sucede al usuario (una violación o pérdida de la contraseña o algo así).

    
respondido por el LvB 16.03.2018 - 15:41
fuente
2

Es muy importante asegurarse de que las direcciones de correo electrónico de los usuarios sean precisas. Casi siempre, el propietario de la dirección de correo electrónico es el propietario de cada cuenta que se vincula con ella.

Por esta razón, es obvio que tanto el usuario como el mejor interés del proveedor comprueban periódicamente que el usuario y el proveedor están de acuerdo con la dirección de correo electrónico a la que está vinculada la cuenta. Es razonable pedirle al usuario "Hey, ¿sigues usando @ .com?"

El problema se produce cuando el proveedor solicita al usuario que vuelva a realizar el proceso de verificación. Como has mencionado, es tedioso y consume mucho tiempo. El proceso de verificación inicial es importante: no quiere permitir que las personas registren cuentas que no son de su propiedad para un servicio. En el mejor de los casos eso es una molestia o un error. En el peor de los casos, puede ser un acoso dirigido o un intento de comprometer futuras cuentas legítimas.

Una vez que haya verificado la cuenta de correo electrónico, la compensación entre el valor y los cambios tedios: el principal problema que la re-verificación busca resolver es si un usuario pierde el acceso a su correo electrónico y no lo sabe. Esto no es irrazonable si un usuario está utilizando un correo electrónico de configuración y olvido para suscribirse a los servicios, pero no sé si eso es lo suficientemente común como para que valga la pena molestar a todos sus usuarios.

    
respondido por el Adonalsium 16.03.2018 - 15:55
fuente
1

Esto no es una medida de seguridad, sino un problema de "permiso para correo electrónico" y un problema de mantenimiento de marketing.

Existe un creciente deseo de que los servicios les pidan a los usuarios que vuelvan a suscribirse a las comunicaciones por correo electrónico de forma regular (anualmente). Esta pregunta de "confirmación" actúa como una opción de facto.

Además, los sistemas de administración de clientes son mejores si los datos están actualizados, y los sistemas CM tienen mucha información obsoleta. Recientemente se ha realizado mucha investigación sobre esta información obsoleta, y los resultados significan que los servicios desean saber si los datos que tienen son actuales.

Entonces, no, esto no es por seguridad.

    
respondido por el schroeder 16.03.2018 - 15:40
fuente

Lea otras preguntas en las etiquetas

¿Debe un servicio CDN como Cloudflare proteger contra ataques de fuerza bruta, o solo de DDoS? ¿Es una mala idea usar enctype="multipart / form-data"?