¿Por qué usar nombres de usuario y no solo direcciones de correo electrónico para identificar a los usuarios?

44

¿Por qué usar nombres de usuario, y no solo direcciones de correo electrónico, para identificar a los usuarios? - ¿Cuál es la preocupación principal o el caso principal cuando un experto en seguridad (que no lo soy) debería recomendar la inserción de otra capa de nombres de usuario, por ejemplo, cuando se crea una aplicación nativa / web?

    
pregunta user9303970 23.04.2018 - 06:58
fuente

10 respuestas

71

A tu pregunta le falta mucho contexto, pero lo que dices es como si estuvieras tratando de resolver un argumento. Así que mi respuesta comenzará con "Depende ..."

Una razón para tener nombres de usuario únicos que no son direcciones de correo electrónico es proteger la privacidad cuando otros usuarios pueden ver el nombre de usuario. Por ejemplo, los perfiles de GitHub indican el nombre de usuario en la URL del perfil, y como indicadores de autoría sobre confirmaciones, problemas, comentarios, etc.

Proporcionar un nombre de usuario como la cara pública del usuario en lugar de su dirección de correo electrónico les permite un nivel de privacidad.

En algunos casos raros, un servicio puede optar por no recopilar direcciones de correo electrónico en absoluto ... ya que las direcciones de correo electrónico pueden considerarse información confidencial y de identificación personal. La desventaja de no recopilar una dirección de correo electrónico en absoluto es que la recuperación de la cuenta para una persona que olvida su contraseña, o se viola su cuenta, será más difícil sin un canal verificado para usar en la recuperación.

O para el enfoque híbrido, uno podría recopilar la dirección de correo electrónico, pero guárdela en la base de datos detrás de un cifrado fuerte. Por lo general, es difícil buscar un cifrado sólido, por lo que sería conveniente tener un identificador menos sensible para usar que se pueda almacenar en texto sin formato.

    
respondido por el nbering 23.04.2018 - 07:23
fuente
19

Los correos electrónicos son de hecho, se utilizan para la identidad del usuario en muchos sitios web.

Hay ventajas y desventajas a esto. Una lista incompleta:

Adventages

  • el problema de la singularidad ya está resuelto
  • no es necesario inventar o inventar un nombre de usuario
  • no es necesario que solicite la dirección de correo electrónico adicionalmente

Desventajas

  • las personas a veces cambian su dirección de correo electrónico
  • a menudo expone la dirección de correo electrónico públicamente (problemas de spam, acoso, etc.)
  • según el contexto, es posible que las personas deseen tener un nombre de usuario, no una dirección

Una solución común y segura es tener un nombre de usuario mostrado y usar la dirección de correo electrónico para iniciar sesión.

    
respondido por el Tom 23.04.2018 - 13:48
fuente
10

Depende del tipo de aplicación. Si es un foro, tiene sentido agregar otra capa de nombres de usuario por un par de razones:

  1. Enmascare la dirección de correo electrónico del público (debe tener un nombre para mostrar, y muchas personas podrían no querer que su dirección de correo electrónico se haga pública). Sin embargo, otra opción sería hacer que las personas inicien sesión con su dirección de correo electrónico y darles la opción de elegir un nombre para mostrar.

  2. Facilidad de inicio de sesión (por supuesto, con los navegadores que recuerdan sus ID de inicio de sesión, esto se vuelve menos relevante).

Si se trata de alguna aplicación en la que los miembros no interactúan con el público, probablemente tenga sentido iniciar sesión con la dirección de correo electrónico.

    
respondido por el pri 23.04.2018 - 07:16
fuente
6

Una razón que aún no se ha mencionado es la capacidad de permitir que los usuarios creen varias cuentas. No todos los sitios necesitan limitar las cuentas a una por persona.

Permitir múltiples cuentas / identidades es una preocupación de seguridad / privacidad. Si bien puede ser objeto de abuso, también brinda más privacidad a las personas porque pueden separar el trabajo de la materia privada, etc.

Stack Exchange permite que las personas tengan varias cuentas. Sin embargo, dado que el correo electrónico se utiliza como una identificación, cada cuenta necesita una dirección de correo electrónico diferente.

Si el correo electrónico no se usa como identificación, se podrían crear varias cuentas con la misma dirección de correo electrónico. esto podría simplificar las cosas para los usuarios, e incluso permitir un sistema de soporte adecuado para múltiples identidades.

Una razón para no permitir múltiples cuentas por persona es la asignación de recursos. (Por ejemplo, puede tener 10 GB de espacio libre) Sin embargo, si las personas crean varias cuentas por razones de privacidad, en realidad no les importa el espacio libre.

Al permitir el uso de la misma dirección de correo electrónico para varias cuentas, las personas pueden obtener sus múltiples identidades, pero la dirección de correo electrónico se puede usar para rastrear los recursos limitados.

Esto no evita el abuso, pero ayuda a identificar a las personas honestas.

Por supuesto, también hay otras formas de lograrlo.

    
respondido por el eMBee 24.04.2018 - 06:41
fuente
5

Además de la privacidad y la facilidad de uso, un nombre de usuario puede cubrir el escenario cuando una cuenta de correo está comprometida.

Si mi cuenta de correo vinculada a un sitio está comprometida, por ejemplo, cambiaría la cuenta de correo a una nueva (cambiar la predeterminada) para intentar minimizar el daño.

Las personas pierden el acceso a las cuentas de correo todo el tiempo por varias razones.

    
respondido por el xandfury 23.04.2018 - 09:21
fuente
4

Las direcciones de correo electrónico no son una buena idea para los nombres de usuario, y mucho menos para los nombres de usuario únicos, a menos que vaya a un lote de problemas.

Por ejemplo, registro cuentas con una dirección de correo electrónico como "first.last+service@gmail.com" para que, si recibo spam, pueda ver qué servicio filtró mi dirección.

Esa es la dirección en la que debe registrarse como mi dirección de correo electrónico para poder enviarme un correo electrónico.

Pero para la singularidad del nombre de usuario, solo debe marcar 'first.last@gmail.com'. Excepto que gmail (y estoy seguro de que otros) también aceptan el correo electrónico a 'firstlast@gmail.com', 'f.irstl.ast@gmail.com', etc. Por lo tanto, también deberá ignorar los puntos al verificar la singularidad. .

Ah, y quizás no recuerde si usé los puntos o si incluí un nombre de servicio, y cuál era el nombre de ese servicio. Así que probablemente perderé el acceso a mi cuenta.

    
respondido por el RickMeasham 24.04.2018 - 07:26
fuente
3

En realidad, los correos electrónicos son a veces utilizados para identificar a un usuario. Stack Exchange sí lo hace, y debe iniciar sesión con su correo electrónico y contraseña. El único propósito de un identificador es ser único, creando una especie de espacio de nombres. Si hace cumplir la unicidad de todos los identificadores (ya sea nombre de usuario, correo electrónico o alguna otra cosa), a fortiori , todas las combinaciones de identificador: contraseña serán únicas.

    
respondido por el forest 23.04.2018 - 07:04
fuente
2

El uso del nombre de usuario tiene algunas ventajas sobre el uso del correo electrónico como forma de inicio de sesión:

  • Es más seguro (contra el caché del navegador, otras personas que ven la dirección de correo electrónico, phishing, etc.)
  • Es más privado (razones similares a las anteriores)
  • Se puede escribir más rápido (y sí, esto muchas veces importa)
  • Puede configurarse en el lado del servidor para que sea utilizable en caso de compromiso del correo electrónico o independiente del estado del correo electrónico
  • Puede evitar un conjunto específico de errores (relacionados, y no solo; el uso de caracteres alfanuméricos solo siempre es mejor usarlos generalmente en el mundo de TI)
respondido por el Overmind 24.04.2018 - 14:02
fuente
0

La compañía anterior en la que trabajé desarrolló sitios web que permitían inicios de sesión para varios propósitos. Sin embargo, la mayoría de nuestros clientes tenían políticas bastante estrictas con respecto a las aplicaciones que recopilaban información de identificación personal (PII). Hubo que rellenar formularios, justificar archivos, controlar el acceso a los datos, etc. Por lo tanto, donde pudiéramos, implementaríamos inicios de sesión usando nombres de usuario (y no pediremos ninguna PII) para que esas aplicaciones puedan ser utilizadas.

    
respondido por el Hussain Akbar 24.04.2018 - 12:22
fuente
-2

Ya que ninguna de las otras respuestas mencionó esto todavía:

También es más seguro contra la ingeniería social / piratería. Como ya sabrá, mucho pirateo no ocurre porque los piratas informáticos son genios de una raza superior que pueden descifrar cualquier sistema técnicamente, pero porque los piratas informáticos pueden adivinar nombres de usuario y contraseñas (lamentablemente, en muchos casos los de administradores). / p>

Conceptualmente, un nombre de usuario y una contraseña son dos credenciales independientes. Cuando utiliza la dirección de correo electrónico como nombre de usuario, en realidad lo reduce a una credencial de una real . ¿Cómo es eso?

Bueno, los usuarios son perezosos y muchos de ellos solo tienen una dirección de correo electrónico (no iniciemos una discusión si es una, dos o tres, eso no cambiará demasiado el siguiente razonamiento). Eso significa que muchas personas conocen su primera credencial para muchos sitios web sin ningún tipo de piratería .

En ese momento, puede asumir con seguridad que la contraseña es la credencial only que brinda protección.

Personalmente, por esa razón, he hecho las siguientes reglas para mí:

  • Al desarrollar un sitio web, no uso la dirección de correo electrónico como nombre de usuario.
  • Al desarrollar un sitio web y un usuario se registra, y detecto que el usuario elige un nombre de usuario que podría ser algo así como una dirección de correo electrónico, rechace el registro (por supuesto, con un mensaje de error apropiado que le pide al usuario que elija un nombre de usuario que no es e incluso no se parece a una dirección de correo electrónico).
  • Al registrarme en un sitio web, no uso una de mis direcciones de correo electrónico como nombre de usuario a menos que el sitio web me obligue a hacerlo.
  • Si un sitio web permite elegir el nombre de usuario de forma aleatoria, utilizo algo como xKAiSP0k0hILscxU como nombre de usuario (recuerde: no sería prudente usar una cosa como nombre de pila, su cumpleaños o el nombre de su gato como usuario nombre porque entonces tiene exactamente el mismo problema, todos lo saben o pueden adivinarlo.
  • Si un sitio web me obliga a usar una dirección de correo electrónico como nombre de usuario, genero una nueva dirección que no se puede adivinar (por ejemplo, xKAiSP0k0hILscxU@gmx.net o incluso xKAiSP0k0hILscxU@some_disposable_email_service_like_mailinator ), y uso esa dirección solo para esa web sitio.

Solo mis dos centavos ...

    
respondido por el Binarus 26.04.2018 - 08:29
fuente

Lea otras preguntas en las etiquetas