Sofortige Anmeldung von E-Mail. Warum haben so wenige das getan?
Habe versucht, die Suche für diese aber erwies sich nichts. Diskussion oder relevante links angefordert werden.
Angenommen, wir gehen, senden Sie eine E-Mail dazu zu verleiten, einen Benutzer-login auf unserer super-social-webapp. Das Ziel dieser Mail ist, um Sie zur Rückkehr auf die Website und stöbern ein bisschen mehr, bevor Sie vergessen, die uns so selbstverständlich wollen wir senken die Barriere zu Ihnen zurückkehren. Cookies helfen verhindern, dass Sie benötigen, um log-in zu jeder Zeit, aber immer noch nicht helfen, in dem Fall, wenn der Benutzer vergessen hat, Ihre Anmeldeinformationen einzugeben. Wir wollen sofortige Befriedigung hier--einem Klick direkt zu der Aktion baby. Stattdessen, warum können wir nicht einfach senden Sie dem Benutzer eine gehashte form einer zufällig generierten, zeitabhängige token, das wir haben, gespeichert in der DB? Wenn Sie liefern können dieses token an den server zurück, dann können wir Vertrauen in Ihre Identität.
Diesem Szenario scheint, wie könnte es sicher sein, solange Sie es geschafft, die Token korrekt. Der Prozess wäre etwas wie folgt:
-
Vor dem versenden der Erinnerungs-E-Mail an John Doe, erzeugen einer Zufallszahl-token (eine ausreichend große Zahl, um zu verhindern, raten), die abläuft, nachdem ein paar Tage.
-
In der E-Mail, eine url enthalten, die enthält eine Hash-form des Tokens (perhap xor mit der ID des Benutzers).
-
Als John Doe logs in seine E-Mail und klickt auf den link, der server überprüft die Existenz des Tokens in der DB und es ist nicht abgelaufen. Wenn das token vorhanden ist, ist er automatisch angemeldet durch den server.
Sicherheit: Wir gehen davon aus, dass die E-Mail von John Doe gehört eigentlich John Doe, wenn auch nur, weil E-Mail-Adressen sind verifiziert als Teil des Registrierungsprozesses. Jeder Benutzer, der Zugriff auf John Doe ' s E-Mail wäre in der Lage, Zugriff auf sein Konto; dies ist jedoch nicht neu. Viele Seiten schon davon ausgehen, dass der Benutzer die E-Mail-Konto sicher ist, weil Sie die Anwendung der Funktion zum zurücksetzen Passwort zur E-Mail.
Mein googeln hat sich nur eine Website, die dies tut, OKCupid, das ist ein online-dating-Website. Kennt jemand andere Seiten, die dies tun? Warum nicht sofortige Anmeldung per E-Mail häufiger? Sicherheit? Fehlen wesentlicher Vorteil für die zusätzliche Komplexität?
- Werden Sie über eine sichere Verbindung? Wenn nicht, packet sniffing könnte ein Problem sein.
- Facebook das auch tun
- Als ein Beispiel für die sofortige Anmeldung, OkCupid sendet links wie okcupid.com/l/.... Wenn jemand darauf klickt, wird Sie angemeldet sind in diesem Konto.
- Welche Beweise haben Sie, dass "so wenige haben dies getan'? Ich sehe Sie überall.
Du musst angemeldet sein, um einen Kommentar abzugeben.
Auf einigen Seiten können Sie trennen Sie die "wichtigen Sachen" von den "wirklich wichtigen Dinge". Lassen Sie uns sagen, dass die "wichtigen Sachen" auf Ihrer Website ermöglicht Benutzern das anzeigen von Richtlinien, aktive Mitglieder und eingehende Nachrichten der Gruppe. Die "wirklich wichtigen Dinge" ermöglicht es Ihnen, eine Politik zu ändern, Kennwörter zurücksetzen und neue Benutzer hinzufügen. Also, was Sie tun können, ist wie folgt:
Im wesentlichen bauen Sie verschiedene Vertrauensebenen in Ihrem system. Die E-Mails, die Sie senden ausgehende Benutzer dazu zu verleiten, sind fast immer für Harmlose Aktivitäten ("hey, checkt das neue widget, die wir Hinzugefügt haben"), und wenn die Leute bleiben wollen, auf der Website, dann werden Sie nicht Verstand, die zusätzliche Zeit, die für die Authentifizierung.
E-Mails sind nicht sicher.
Können Sie nicht davon ausgehen, dass die E-Mail nicht gesehen werden, im transit, und Sie können auch nicht davon ausgehen, dass der Nutzer Lesen E-Mails über SSL (vor allem, wenn er mit einem webmail-client)
Passwort zurücksetzen per E-Mail in der Regel (hoffentlich?) erfordert einen zweiten Faktor - die Sicherheitsfrage.
Sie würden nicht haben eine Frage zur Sicherheit.
Wenn der Benutzer leitet die e-mail an einen Freund aus irgendeinem Grund, dann, dass Freund könnte sich als der Benutzer.
Viele websites, die Benutzern die Wiederherstellung Ihrer Kennwörter über E-Mail-Prüfung. Deine Idee ist nicht viel anders, aber:
Lea Verou hat eine interessante Idee auf, dass:
Quelle: http://lea.verou.me/2010/08/automatic-login-via-notification-emails/
Indem es völlig normal für Menschen zu klicken Sie auf login links in E-Mails, sind Sie im Grunde einstellen und Sie für eine phishing-Falle. In der nächsten Zeit eine phishing-E-Mail kommt, in denen sieht aus wie Ihre Durchschnittliche E-Mail mit login link, Sie klicken Sie einfach darauf und getäuscht werden.
Wie können Sie sicher sein, dass diese hash-link wäre nicht von Dritten "abgehört"? Ich sehe das nicht als sehr sicher.
Dies ist ziemlich ähnlich wie Godaddy Griffe-domain-Registrierung Kontakt-Informationen aktualisiert (obwohl Sie Sie bitten, geben oder fügen Sie den token in Ihre sichere form, anstatt es als Teil der URL), so vielleicht es ist nicht so ungewöhnlich, wie Sie denken.
Vermute ich eine bessere Idee wäre, ermöglichen die Anmeldung per OpenID/OAuth. Dann Benutzer müssen nicht zu erinnern, oder geben Sie ein Kennwort für Ihre Website unter keinen Umständen, so dass man aus der 'komm zurück!' E-Mail ist nicht anders als jede andere Strecke.
Natürlich, es erfordert, dass Sie bereits ein Konto bei Facebook, Google oder einige andere Mitbewerber!
Gegeben, dass es eine Menge von "Passwort zurücksetzen" funktioniert über die gleiche Sache in diesem thread:
Daran erinnern, dass es durchaus üblich ist (und schlampig, um nicht zu) für den Passwort-reset-Mechanismen kombiniert werden mit einer oder mehreren der folgenden:
Suspicious activity detection. Ohne diese, es ist nicht zu leugnen, Sie machen amateur Systeme zur Authentifizierung (vielleicht lassen Sie solche arbeiten mehr fähige Leute?). E. g. ist die Passwort-reset komme vom Land, wo die Nutzer in der Regel nutzt das system? Es wurden mehrere fehlgeschlagene login auf das Konto (oder alle Konten vor kurzem) in (Wörterbuch-Attacken, botnets, etc)? Es ist wahrscheinlich, dass die Passwort-reset-Mechanismen, die Sie verwendet haben, und beurteilt, in der Formulierung Ihrer Entscheidungen hier wurden in der Tat (unter der Oberfläche) die Nutzung irgendeiner form suspicious activity detection.
Sicherheit Frage(N). https://www.owasp.org/index.php/Choosing_and_Using_Security_Questions_Cheat_Sheet
Für die Liebe zu Gott, Leute, bitte Lesen Sie diese sorgfältig: https://www.owasp.org/index.php/Forgot_Password_Cheat_Sheet
Wie Sie wissen, ist dies, wie Passwort-resets funktionieren (im Grunde). Warum sich nicht anmelden wollen? Weil Sie im Grunde genommen einen Benutzernamen und ein Passwort in Klartext über den query-string, der ein bad Sache. Siehe: Ist eine HTTPS-query-string sicher?