Cuando accede al formulario de inicio de sesión de un sitio web e ingresa las credenciales incorrectas, el sitio web le puede dar uno de los tres mensajes de error:
-
Tu correo electrónico es incorrecto
-
Su contraseña es incorrecta
-
Su contraseña o es incorrecta
Tengo lea que la práctica más segura es mostrar solo el tercer mensaje de error, ya que evita que los usuarios malintencionados utilicen el formulario de inicio de sesión para averiguar qué correos electrónicos ya están en su base de datos. Si pueden obtener esa información a gran escala, pueden vender las direcciones de correo electrónico a los spammers o intentar iniciar sesión como usuarios.
Además del formulario de inicio de sesión, hay otras dos formas comunes de descubrir correos electrónicos válidos.
El formulario de contraseña olvidada en un sitio web le permite ingresar su correo electrónico y recibir un enlace de restablecimiento de contraseña a su dirección de correo electrónico. Si ingresa un correo electrónico inexistente en el formulario, el sitio web puede darle uno de dos mensajes:
-
Ese correo electrónico no existe
-
Se envió un enlace de restablecimiento de contraseña a su dirección de correo electrónico, si existe
Por el mismo motivo, la mejor práctica de seguridad aquí es mostrar solo el segundo mensaje, incluso si ese correo electrónico no existe.
El formulario de registro de cuenta de usuario le permite crear una nueva cuenta en el sitio web. Requiere que ingrese varios datos, como una dirección de correo electrónico y una contraseña.
Si intenta registrarse con una dirección de correo electrónico que ya está siendo utilizada por otra cuenta, el sitio web puede indicarle que la dirección de correo electrónico ya está en uso.
Muchos sitios web grandes, incluido Stack Exchange , lo hacen de esa manera, aunque cause lo mismo. problemas que se enumeran arriba.
Aquí están mis preguntas , ambas relacionadas con ese problema:
-
¿Cómo puede un sitio web permitir a los usuarios registrarse sin filtrar las direcciones de correo electrónico de sus otros usuarios?
-
¿Hay algún beneficio en el manejo correcto de los formularios de inicio de sesión y los formularios de contraseña olvidada si el formulario de registro tiene este problema? En otras palabras, si ya puede obtener las direcciones de correo electrónico de todos desde el formulario de registro, ¿no son las protecciones de los otros dos formularios una molestia inútil para los usuarios finales?