Verifikace zmeny emailu v nastaveni
- ali
- Člen | 342
Zdravím,
resim tedka takove mensi dilema a to jak bych mel spravne verifikovat zmenu emailu, ktery si uzivatel zmeni v nastaveni. Napadli me tri moznosti:
1. Zmenit bez zaslani potvrzovaciho kodu
Pro:
-pro me bez starosti, nemusim nic vytvaret
Proti:
-uzivatel muze omylem zadat spatny email a pak mu nebudou chodit potrebne
emaily
-muze zadat cizi email
2. Zmenit po overeni platnosti noveho emailu
Zasle se na novy email potvrzovaci kod.
Pro:
-overeni, ze nebudu nikoho cizoho spamovat
Proti:
-pokud uzivatel se zapomene odhlasit, muze mu nekdo zmenit nevedomky email a tim
odcizit acc
3. Zmenit po potvrzeni na puvodnim emailu
Zasle se na puvodni email potvrzovaci kod
Pro:
-muze zmenit jen skutecny vlastnik
Proti:
-muze zadat cizi email
Kdyz zavrhnu bod #1 tak bych rekl, ze reseni cislo #3 je asi nejlepsi.. nebo papada nekoho neco jineho?
- iguana007
- Člen | 970
2. imho ne, protože v případě, že by potencionální útočník znal
heslo, tak mu nebude dělat žadný problém účet ukrást (což by
v případě, že web neběží na https nemusel být ani takový problém)
3. řešení mi přijde jako nejvíce bezpečné a taky se s ním setkávám
nejčastěji (hodně bývá ještě doplněno o zadání aktuálního hesla
k účtu)
- David Zadražil
- Člen | 62
Ke kombinaci č.3, co když si uživatel mění e-mail, kvůli tomu, že k němu ztratil přístup? Tak v tom případě si ho nezmění, protože nemá jak kliknout na potrvrzující odkaz.
Jinak osobně používám variantu č.2.
Editoval David Zadražil (12. 11. 2014 12:06)
- David Zadražil
- Člen | 62
S tím samozřejmě souhlasím a tenhle problém je na většině stránkách. Záleží také o jaký typ aplikace se jedná. Pokud půjde o e-shop, tak tam bych nějaké zpětné ověřování staré adresy asi neřešil, protože pro uživatele je důležité si ten e-mail prostě změnit a naopak tady může případnou ztrátu účtu (změnou e-mailu útočníkem) řešit s podporou. Ovšem pokud by šlo například o aplikaci kde tečou peníze, pak je to jiná.
Jinak teď jsem měnil e-mail na jedné stránce a tam po mě chtěli ověření bezpečnostní otázky, kterou jsem si zvolil při registraci. Což je taky způsob :-)
Editoval David Zadražil (12. 11. 2014 13:23)
- petr.pavel
- Člen | 535
@Aurielle: Jak bude podpoře prokazovat, že je opravdu vlastníkem účtu, když nezná heslo a nemá přístup k e-mailové schránce, která je s účtem svázaná?
- petr.pavel
- Člen | 535
Ještě ti chybí možnost použít autentikaci přes službu třetí strany (Google, Facebook) a o e-mail se vůbec nestarat. Když ho potřebuješ, vyžádáš si z profilu autentikátoru aktuální a máš vystaráno.
EDIT: Důvody proč přenechat autentikaci někomu zkušenějšímu: https://www.youtube.com/watch?…
Editoval petr.pavel (12. 11. 2014 18:59)
- Aurielle
- Člen | 1281
@petr.pavel napadá mě například ověření totožnosti občankou v případě služby, kde tečou peníze. U jiných služeb bude asi záviset na domluvě, obecné řešení v tomto směru neznám. Btw, s tím se samozřejmě hodí pravidelná upozornění na ověření aktuálnosti mailu, jak to dělá třeba Twitter. edit: proč by neznal heslo? Bavíme se přeci o ztrátě přístupu k původnímu mailu, to neimplikuje ztrátu hesla.
Editoval Aurielle (12. 11. 2014 19:17)
- matopeto
- Člen | 395
Pouzivam to, ze pri zmene emailu, musi clovek zadat aktualne heslo. Overovat novy email nie je podla mna nutne, ale ked chce mat clovek (tvorca stranky) istotu, ze ma tam iba „platne“ emailove adresy, tak by som to zmenil az po tom co potvrdi na novom emaile.
Overovat cez stary email je divne, lebo v sluzbach menim email iba ked sa k staremu uz nemozem dostat.