1. Inicio
  2. Pregunta y respuesta
  3. ¿Cuáles son los pros y los contras de usar un correo electrónico como nombre de usuario?

¿Cuáles son los pros y los contras de usar un correo electrónico como nombre de usuario?

2009-08-20 25 views
38

Usted sabe que la mayoría de los formularios de inicio de sesión usan el usuario & pase.¿Cuáles son los pros y los contras de usar un correo electrónico como nombre de usuario?

Y algunos van al correo electrónico & pase. ¿Cuáles son los pros y los contras de ellos? Esto es lo que he pensado.

PROS de correo electrónico

  • una cosa menos para recordar (a diferencia de recordar un nombre de usuario también)
  • siempre debe ser único por usuario
  • Uno menos que hay que pedirles que registrarse

CONS

  • Si cambian el correo electrónico, ¿podrían intentar utilizar su nuevo correo electrónico para acceder al sitio?
  • Para olvidar la contraseña, y dice "por favor, introduzca su correo electrónico" y han abandonado su correo electrónico anterior, podrían estar bloqueados.

Creo que esto está relacionado con la programación porque la facilidad de uso de una aplicación web es algo importante que no debe pasarse por alto.

Fuente

2009-08-20 alex

+4

Para las contraseñas olvidadas, no importa si la dirección de correo electrónico es la identificación de usuario si han abandonado la dirección de correo electrónico anterior. –

+1

Comparto su punto de vista. Un correo electrónico era el nombre de usuario natural: único por diseño. No sé lo que salió mal. En cualquier caso, la siguiente identificación de usuario es OpenID. –

+0

posible duplicado de [¿Cuáles son los pros y los contras de usar una dirección de correo electrónico como identificación de usuario?] (Http://stackoverflow.com/questions/647172/what-are-the-pros-and-cons-of-using -una-dirección-de-correo-como-un-usuario-id) –

Respuesta

22

Otra cosa que debe recordar es que si otros usuarios también pueden ver el "nombre de usuario", no debe usar direcciones de correo electrónico debido a problemas de privacidad.

Fuente

2009-08-20 02:03:24

+1

+1 gracias - información útil – alex

+27

No siempre. El nombre de usuario nunca debe ser el nombre público. Eso se aplica al correo electrónico como nombre de usuario o solo a los nombres de usuario. Separe el nombre de usuario (o correo electrónico) del nombre público de "presencia". – Phillip

+2

Puede usar el correo electrónico y la contraseña para la autenticación y un "nombre de visualización" para la representación –

1

Email (pro) - disminuye el spamming de creación de cuentas porque puede confirmar su cuenta enviándoles un correo electrónico.

Fuente

2009-08-20 02:04:24 JasonV

+3

Puede requerir una dirección de correo electrónico para vincularla a la cuenta y verificar la cuenta por esa dirección de correo electrónico. Esto no cambia si tienes un nombre de usuario para autenticación. Lo recomiendo sin embargo. – TheJacobTaylor

+0

Prácticamente, cada sitio al que se registre solicitará una dirección de correo electrónico, independientemente de si se usa como nombre de usuario o no. – DisgruntledGoat

+1

Solo lleva unos segundos crear una cuenta de correo electrónico no deseado y configurarla con un contestador automático. Si alguna vez ha administrado algún tipo de foro en línea antes de que los usuarios respondan un correo electrónico para activar su cuenta, descubrirán rápidamente que no ralentiza en absoluto a los remitentes de correo no deseado. –

3

Email hace un buen nombre de usuario siempre que proporcione un medio para cambiar la dirección de correo electrónico. LinkedIn proporciona esto al crear una cuenta con un correo electrónico como nombre de usuario. También le permiten (una vez que haya iniciado sesión) cambiar la dirección de correo electrónico principal, que luego cambia su nombre de usuario para que sea esa dirección de correo electrónico.

Mientras haga algo como esto, entonces debe estar todo listo.

Fuente

2009-08-20 02:04:52

+1

En caso de que ocurra algo y no se pueda recuperar la dirección de correo electrónico para las contraseñas perdidas, recomendaría tener algún tipo de correo electrónico o comunicación telefónica para la recuperación de la cuenta. En mi opinión, debe tener esto de todos modos, independientemente de si usa nombres de usuario o correo electrónico como nombres de usuario. Use los datos demográficos de la cuenta para confirmar que el usuario es quien dice ser. – Phillip

5

OpenID y OAuth ..... Parece mejor. Incluso menos usuarios se las arreglan para ellos y hace que la migración en un lugar sea más fácil con un cambio.

Sí, tienes que tener cuidado. Insisto en que la dirección de correo electrónico de respaldo (un campo de perfil adicional) es diferente a la dirección de correo electrónico que están usando para el usuario. Muchos sistemas también tienen algunos otros campos que luego pueden usar para autenticarse si las cosas se ponen realmente peludas. En este punto, sin embargo, con frecuencia requeriría una llamada de soporte técnico.

Dependiendo del tipo de sistema, usar el correo electrónico puede ser una vulnerabilidad de seguridad. Sé su dirección de correo electrónico, no sé lo que podría poner en un aviso de nombre de usuario. Si ser capaz de adivinar fácilmente un nombre de usuario es un problema, entonces no usaría la dirección de correo electrónico.

Fuente

2009-08-20 02:05:00 TheJacobTaylor

+0

Y para facilitar las cosas aún más, le sugiero que use un servicio de terceros como Auth0.com ya que tienen todas las conexiones a los diferentes proveedores de OAuth que ya se han averiguado ... y admiten otros métodos de autenticación, como Active Directory. Su aplicación puede funcionar con un JWT que sea portátil, seguro y no tenga que revelar la información del usuario. –

1

Con: Cuando requiere que un nombre de usuario se comparta entre aplicaciones como el sitio web y el correo electrónico, puede plantear problemas de seguridad. Por ejemplo, quien tenga acceso a los nombres de usuario en el sitio web también tendrá acceso a las direcciones de correo electrónico si el correo electrónico se usa para el nombre de usuario. Usualmente esto no es un problema, pero podría serlo.En general, es una buena política mantener separados los nombres de usuario y las contraseñas entre las aplicaciones a menos que haya un procedimiento de inicio de sesión común, o a menos que la seguridad no sea importante.

Fuente

2009-08-20 02:08:45 xpda

+1

En general, si tienen acceso al nombre de usuario que probablemente también tendrá acceso a la dirección de correo electrónico, porque el acceso al nombre de usuario generalmente requiere acceso a la base de datos. Si tienen acceso a la base de datos a la que tienen acceso, entonces solo el nombre de usuario. Al menos esa es mi opinión. – Phillip

0

Cuando usa direcciones de correo electrónico, es más fácil para un miembro cambiar su nombre de usuario, por ejemplo, cuando pwng0d69 quiere ser conocido como Jon Skeet. Sin embargo, para cada sitio que solicita mi dirección de correo electrónico, personalmente me estremezco ante otra fuente de posible correo no deseado.

Uso Open ID :)

Fuente

2009-08-20 02:10:07 Moak

1

CON: Es uno menos capa aislante entre el usuario y spammers. Si, de alguna manera, alguien obtuviera una lista completa de nombres de usuario, ellos podrían enviar correo no deseado a todos sus usuarios. Pero si el sitio utiliza nombres de usuario, con correos electrónicos como un campo secundario, esto no es una preocupación.

A menos que obtengan todos los datos del usuario, por supuesto, pero eso es un problema mucho más grande de todos modos.

Fuente

2009-08-20 02:12:50 Cinder6

0

PRO: Parece que algunos servicios están considerando hacer e-mail en el estándar para la identificación de un usuario específico a través de la red:

por ejemplo, http://www.techcrunch.com/2009/08/14/google-points-at-webfinger-your-gmail-address-could-soon-be-your-id/

CON: esto no ha sucedido todavía, y hay un montón de otras opciones, como OpenAuth y OpenID que están alrededor ahora y tienen algo de apoyo (también tiene inicio de sesión utilizando Facebook difusión).

Simplemente adapte su elección de identidad a lo que sea el público objetivo de su aplicación.

Fuente

2009-08-20 03:18:57 nicoslepicos

0

Utilizamos el software 'Product Lifecycle Management' de Arena Solutions antes de que un cambio en la titularidad de la empresa exigiera un cambio. Era uno de esos tratos donde todos los datos confidenciales de la empresa están alojados en algún lugar de la costa y se puede acceder por el navegador desde cualquier lugar.

Arena PLM fue promocionado como altamente seguro, pero el comportamiento (predeterminado) era requerir una dirección de correo electrónico como nombre de usuario. Permitió contraseñas seguras con una fecha de caducidad, pero cuando caducó mi contraseña me dijeron que podía elegir otra, ¡o simplemente seguir usando la anterior!

Creo que las exigencias de seguridad se basan en el uso de SSH para la transferencia de datos, pero me pareció una persona determinada podría conectarse porque

  • Los nombres de usuario eran a disposición del público empresa direcciones de correo electrónico, y
  • Hubo mucho tiempo para adivinar una contraseña porque un usuario perezoso no elegiría una nueva.

que significa, por supuesto, que el uso y la renovación de las contraseñas fuertes deben hacerse cumplir.

Fuente

2009-08-20 03:40:44 pavium

1

He hecho esto para aplicaciones b2b y es un verdadero dolor cuando un usuario deja una compañía cliente y alguien más está usando la antigua dirección de correo desactivada como inicio de sesión y deliberadamente no la cambia para evitar que nos envíe un correo electrónico.

Terminamos con el correo electrónico de restablecimiento de contraseña que rebota y llamadas de soporte para arreglar cosas.

Fuente

2009-08-21 03:34:15 sal

2

Creo que las desventajas superan a los profesionales en lo que a seguridad se refiere.Muchas empresas reciclan direcciones de correo electrónico, por lo tanto, si un usuario ya no usa una dirección de correo electrónico (borró su cuenta de correo electrónico), PODRÍA reciclarse para que otra persona pueda usarla.

En ese caso, cualquier otra persona puede recibir correspondencia periódica de su organización. Esto le permite al nuevo usuario saber que el usuario anterior de la cuenta solía tener un inicio de sesión con su organización. Si usa restablecimientos sencillos de contraseñas por correo electrónico, sin controles adicionales, como preguntas de seguridad, todo lo que tienen que hacer es recuperar la contraseña con la dirección de correo electrónico que ahora poseen y tienen acceso a la cuenta de esa persona.

Espero que no esté programando para un banco. USBank.com usa un nombre de usuario y no un correo electrónico. También tengo una cuenta en una cooperativa de ahorro y crédito y ellos tampoco usan el correo electrónico, sino que usan números de cuenta, que nunca reciclan.

Si la seguridad es la prioridad, nunca use el correo electrónico.

Fuente

2012-06-04 18:21:00

+0

Creo que generalmente hay un enlace "¿Olvidó su contraseña?" Que envía su nombre de usuario y un enlace de restablecimiento de contraseña. Por lo tanto, incluso si inicia sesión por nombre de usuario (y no por correo electrónico), correría peligro si las direcciones de correo electrónico se reciclaran. (¿No se consideraría seguro solo porque no se envió ninguna correspondencia periódica que revelara el identificador de inicio de sesión?) – KajMagnus

+0

@KajMagnus :: Sí, pero al menos usted todavía podrá ingresar a su cuenta para actualizar la dirección de correo electrónico a su cuenta dirección de correo electrónico. Si la aplicación envía un correo electrónico a la dirección de correo electrónico original para solicitar la confirmación de que la dirección de correo electrónico debe cambiarse [lo que he visto antes], entonces se le atornillará. Además, solo [normalmente] enviará un enlace de restablecimiento de contraseña * si * puede autenticar otro control de seguridad, algo similar a un número de cliente (como Go Daddy) o un PIN, o su número de teléfono, etc. Permitir una contraseña restablecer sin una verificación secundaria es noobish. –

2

Otro problema que puede surgir al usar el correo electrónico como nombre de usuario es el ataque de "usuario que cosecha". Por ejemplo, si tiene una página de "cambio de correo electrónico" o al crear un nuevo usuario, si el nuevo usuario inserta un correo electrónico que ya existe, la aplicación deberá enviar un error. En consecuencia, un atacante puede descubrir todos los usuarios en la aplicación ejecutando un script simple (en caso de que el usuario no exista, se agregará)

Fuente

2013-02-14 10:06:57 Oren

+0

Esto se puede resolver de esta manera: el sitio no debe decir si el correo electrónico existe o no. Simplemente debe enviar un correo al correo electrónico recién ingresado con un texto apropiado, con una formulación que depende de si el correo existe o no. La respuesta inmediata del sitio debe informar que se ha enviado un correo por supuesto, y decirle al usuario que revise su buzón de correo. – Magnus

1

Otra nota si permite que las cuentas sean públicas es que no requerir un nombre de usuario significa que debe permitir un "Nombre para mostrar" (ciertamente no mostraría una dirección de correo electrónico), pero si sus usuarios desean usar sus nombres reales, existe la posibilidad de nombres duplicados que podrían causar confusión (piense en dos SO comentaristas sin imágenes y con el mismo nombre, la suposición es que es la misma persona, a menos que haga clic en un perfil completo). En ese caso, tendrías que forzar un Nombre para mostrar único (que podría evitar que alguien use un nombre real) o simplemente aceptar que puedes tener dos Bob Johnson dando vueltas confundiendo a la gente.

Fuente

2013-05-06 17:15:39

Cuestiones relacionadas

 Cuestiones relacionadas