¿Es una mala práctica aceptar un número de teléfono o correo electrónico como nombre de usuario?

Question

¿Es una mala práctica aceptar un número de teléfono o correo electrónico como nombre de usuario?

#1 de Rápli András (2 votos)

0

En un sitio web en el que toda la información de los usuarios (nombre de usuario de línea, correo electrónico y número de teléfono) se almacena de forma segura y oculta (de otros usuarios y del mundo público), ¿es una mala práctica aceptar la dirección de correo electrónico o el número de teléfono o el nombre de usuario? como nombre de usuario con una contraseña y un Captcha?

En esta pregunta , se ha dicho que el principal riesgo es que el correo electrónico pueda se utilizará con la misma contraseña, por lo que comprometer la cuenta puede llevar a ingresar a la cuenta de correo electrónico del usuario. Si el correo electrónico del usuario se muestra en su / su perfil de resistencia, no importa qué método utilice el pirata informático para descifrar la cuenta, por el contrario, sabrá el correo electrónico y la contraseña.

Si esa información se mantiene segura y oculta, ¿es una mala práctica utilizar este tipo de implementación? Si es así, ¿cuáles son los inconvenientes y las preocupaciones?

authentication email user-names password-cracking phone

pregunta Amirreza Nasiri 29.01.2017 - 00:12

fuente

1 respuesta

Lea otras preguntas en las etiquetas authentication email user-names password-cracking phone

Datos seguros en la memoria (aplicación C # .Net) Lista de nuevos módulos Metasploit

score 2 · Answer 1

No en el lado de la seguridad, pero es menos probable que las personas estén dispuestas a proporcionar su número de teléfono o simplemente ingresarán uno falso. Por lo tanto, le sugiero que utilice el número de teléfono solo si su aplicación realmente necesita esa información.

No me importaría que las personas reutilicen sus contraseñas, no es tu problema. Esto solo debilita su seguridad si el servicio de correo electrónico se ve comprometido y la contraseña se filtra. En casi todos los casos, los usuarios utilizarán gigantes como gmail, que utilizan varias medidas de seguridad adicionales para evitar que los piratas informáticos obtengan acceso a la contraseña de la cuenta. Un simple y fuerte algoritmo de hash sería suficiente por su parte.

Es lo mismo de tu lado. Si te preocupas por tus usuarios, almacenas sus contraseñas con hash, como probablemente ya lo hagas. Si se convierte en víctima de una violación, y de alguna manera el atacante conoce las contraseñas sin procesar de sus usuarios, es absolutamente su responsabilidad y estupidez si el atacante ingresa a su cuenta de correo electrónico con las mismas credenciales. Pero que ese no sea el caso, guarde todo de manera segura :)