Ich weiß, diese Frage ist verrückt - aber meine Arbeitgeber-Client fordert, dass E-Mail-Verifizierung aus dem Anmeldeprozess entfernt werden (sie fühlen sich behindern Anmeldung). Ich wollte Feedback von der Programmiergemeinschaft im Allgemeinen über ihre Erfahrungen und Meinungen bezüglich der Anmeldung und E-Mail-Verifizierung sammeln - und die möglichen Konsequenzen der Aufhebung dieser Sicherheitsmaßnahme.Bedeutung der Überprüfung der Benutzer-E-Mail im Web Anmeldung
Antwort
Ich bin auf ihrer Seite - 95% der Zeit Websites brauchen nicht wirklich eine E-Mail-Adresse, sie sammeln es nur, weil alle anderen Web-Registrierungen, die sie gesehen haben, sammeln eins. Wenn Sie Bedenken wegen Spam haben, verwenden Sie ein Captcha; E-Mails sind eine schreckliche Möglichkeit, automatisierte Registrierungen zu stoppen. Mit Websites wie Mailinator, um Menschen sofortige Wegwerf-E-Mails und BugMeNot Menschen den Ärger über den Umgang mit Registrierungen wie Ihre zu ersparen, sollten Sie vermeiden, Ihre Registrierung schwieriger als es sein muss. Stack Overflow ist ein großartiges Beispiel - Sie müssen sich nicht einmal registrieren, um Fragen zu stellen/zu beantworten.
E-Mail ist wichtig, um den Benutzer zu identifizieren, zum Beispiel wenn er sein Passwort vergessen hat. Wenn die E-Mail-Verifizierung so eingerichtet ist, dass Benutzer sich erst dann anmelden können, wenn sie ihre E-Mail-Adresse verifiziert haben, denke ich auch, dass dies eine Behinderung darstellt. Die Anwendung sollte es dem Benutzer ermöglichen, sich anzumelden und die Anwendung zu verwenden und sie so einzurichten, dass der Benutzer seine E-Mail-Adresse in einer festgelegten Anzahl von Tagen, beispielsweise einer Woche, verifizieren muss. Wenn sie nicht ihr Konto gesperrt ist.
Auf der anderen Seite, wenn wir die E-Mail-Verifizierung entfernen müssen, dann denke ich, dass wir eine Funktion ähnlich den großen E-Mail-Diensten hinzufügen müssen, die dem Benutzer erlauben, vergessene Passwörter in Abwesenheit einer gültigen E-Mail-Adresse zurückzusetzen.
sie können sich am System anmelden, sie können Passwort Erinnerungen bekommen, sie können einfach nicht auf Hauptfunktionen ohne Überprüfung zugreifen – sunwukung
"... erlauben dem Benutzer, ihre vergessenen Passwörter in Abwesenheit einer gültigen E-Mail-Adresse zurückzusetzen." Dies geschieht oft mit einer "Sicherheitsfrage", die einfacher zu erraten ist als ein Passwort und somit den Wert des Passwortes negiert. Denken Sie so darüber nach: Sie kaufen ein magisches, unzerstörbares Schloss für Ihr Haus und fragen den Schlosser: "Was, wenn ich den Schlüssel verliere?" Und er sagt: "Oh, kein Problem, wackle einfach einen Schlüssel im Schloss für ungefähr eine Minute, um es neu zu schreiben." Huch! Wenn du das kannst, kann ein Einbrecher das. Könnte auch kein Schloss haben. –
Meine Vermutung ist, dass Roboter nicht durch einen Registrierungsprozess gehen. Ihr durchschnittlicher, einfältiger Roboter spawt einfach in eine Form, die überhaupt keine andere Aktion (Authentifizierung, Identifikation) erfordert. Der bloße Akt, nach einem oder mehreren zusätzlichen Klicks zu fragen, wird die meisten einfältigen "Angriffe" verhindern. Wenn Sie die Blog-Seite für Coding Horror betrachten, verwenden sie ein Captcha mit einem Konstanten Capture-Wort.
Auf der anderen Seite, während ein paar zusätzliche Klicks dumme Roboter abschrecken werden, werden sie nicht menschliche Spammer, Joker, Griesser usw. abschrecken. Aber dann wieder Wegwerf-E-Mail-Adressen sind ziemlich leicht zu kommen, also wenn jemand wirklich möchte deine Website mit Müll füllen, den sie können.
Meine Schlussfolgerung ist: Ich schätze, dass Sie auf Ihren Seiten etwa 10 bis 20% mehr "Junk" und zwischen 5% und 25% mehr "gewünschte" Zugriffe bekommen werden, je nachdem, wie sehr es Ihr Potential stört Kunden. Daher sehe ich keinen großen Schaden beim Entfernen der E-Mail-Barriere.
+1 für Statistiken – Throoze