Obtención de la dirección de correo electrónico en el registro

Navega tus respuestas
6

En un formulario de registro se le solicita al usuario su dirección de correo electrónico. La dirección de correo electrónico se validará con el formato correcto (por ejemplo, al menos contiene @ ) y estoy considerando verificar si ya está registrado. ¿Esto supondría un riesgo para la seguridad, ya que permitiría a los atacantes verificar las direcciones de correo electrónico de los usuarios con cuentas? En caso afirmativo, ¿cómo puede mitigarse la amenaza?

    
pregunta Celeritas 03.06.2013 - 21:52
fuente

3 respuestas

4

Para evitar este tipo de fuga, también puede comenzar el proceso de registro solicitando el correo electrónico. Después de ingresarlo, enviará un correo electrónico con un enlace para que el usuario pueda continuar con el proceso de registro. Si el correo electrónico ya estaba registrado, enviaría un correo electrónico diciendo eso.

De esa manera, solo el propietario del correo electrónico podría registrarse.

Inconvenientes :

  • probablemente los usuarios reales y comunes se aburrirán al tener tantos pasos para registrarse.
  • en muy pocos casos, el simple hecho de revelar que un correo electrónico ya está registrado en un sitio es un problema, especialmente porque es fácil registrarse en cualquier sitio que proporcione cualquier correo electrónico que desee. Simplemente no recibirá el correo electrónico para activar su cuenta, pero en general el sitio vinculará la cuenta / nombre de usuario a ese correo electrónico.
respondido por el woliveirajr 03.06.2013 - 22:18
fuente
3

Usar un nombre de usuario en lugar de una dirección de correo electrónico es un método o usar una combinación de ambos para cosas sensibles a la seguridad como restablecimientos de contraseñas. Esto hace que el descubrimiento de una dirección de correo electrónico particular sea menos útil si se necesitan tanto un nombre de usuario como un correo electrónico.

No es tan importante filtrar el hecho de que existe una dirección de correo electrónico particular en la mayoría de los casos, a menos que la privacidad sea una gran preocupación, en cuyo caso es preferible utilizar nombres de usuario exclusivamente para la exclusividad. Alternativamente, puede permitir que aparezca la cuenta, pero enviar un correo electrónico a la dirección de correo electrónico indicada indicando que ya existe una cuenta.

    
respondido por el AJ Henderson 03.06.2013 - 21:57
fuente
1

He visto que más sitios cambian la respuesta a las cuentas que se han creado (notificación), a algo como: "Si la cuenta existe, se enviará un correo electrónico" contra: " no hay tal cuenta "(que le permite a alguien que se registre saber si ya existe una cuenta o no) Si desea detener la" enumeración de la cuenta ", mire a OWASP:" Pruebas de enumeración de usuario y cuenta de usuario de Guessable "

    
respondido por el munkeyoto 03.06.2013 - 22:00
fuente

Lea otras preguntas en las etiquetas

SSL - ¿Aún son posibles los ataques de prefijo nulo? ¿SFTP o FTPS para conectarse a un VPS?