[Este es un duplicado, considerado fuera de tema en enlace
Un proceso típico de creación de cuentas parece ser:
- Proporcione la dirección de correo electrónico y establezca una contraseña
- Reciba un correo electrónico de confirmación con un enlace y / o un token con hash
- Haga clic en el enlace para verificar y / o ingresar el token en el sitio
Sin embargo, una vez leí en algún lugar (y no puedo encontrar esto ahora, razón por la cual pido) que un proceso mejor modificaría el Paso 3 para que el usuario también inicie sesión con la contraseña proporcionada en el Paso 1. Creo que la razón fue que esta precaución adicional garantiza que la persona que verifica la dirección de correo electrónico sea la misma que creó la cuenta.
Pregunta: ¿Tiene sentido la explicación anterior, y debo implementar la verificación de correo electrónico al solicitar un inicio de sesión basado en contraseña?
Para mí tiene sentido, y al menos no parece perjudicial, aparte de hacer que la experiencia del usuario sea un poco más incómoda. Pero veo muchos servicios en línea que no requieren esto, y me pregunto por qué.
Por ejemplo, aquí está el escenario que me preocupa. ¿Qué pasaría si la persona # 1 creara inicialmente la cuenta pero especificara la dirección de correo electrónico incorrecta (de forma maliciosa o accidental) y se la enviara a la persona # 2? Si la persona # 2 es ingenua, puede verificar esa dirección de correo electrónico simplemente haciendo clic en el enlace ... y luego olvidarlo. Entonces la persona # 1 todavía podría iniciar sesión con la contraseña. Supongamos que la persona # 1 hace todo tipo de cosas malas en esa cuenta. ¿La persona # 2 sería responsable?
Creo que una solución alternativa podría ser pedirle a los nuevos usuarios que primero especifiquen solo una dirección de correo electrónico, luego confirmar que con un token hash y luego pedirles que establezcan una contraseña. Pero tampoco veo muchos servicios en línea que lo hagan de esta manera.