Qual é a melhor política para permitir que os clientes alterem e-mails?

8

Estamos desenvolvendo um aplicativo da Web com um processo de registro bastante padrão que exige que um cliente / usuário verifique seu endereço de e-mail antes de poder usar o site. O site também permite que os usuários alterem seu endereço de email após a verificação (com um campo de redigitação de email também).

Quais são os prós e os contras de fazer com que o usuário verifique novamente seu email. Isso é mesmo necessário?

EDITAR:

Resumo das respostas e comentários abaixo:

  • A "verificação excessiva" irrita as pessoas; portanto, não a use, a menos que seja crítica
  • Considere um campo "redigitar email" para evitar erros de digitação, mas os usuários ainda podem copiar / colar, tornando-o discutível.
  • Cuidado com a substituição de dados bons conhecidos por dados potencialmente bons
  • Enviar email para antigo para notificação; para novo para verificação
  • Não presuma que o usuário ainda tenha acesso ao email antigo
  • Identifique o impacto do email incorreto se a conta estiver comprometida
security email authentication Steve Konves
fonte

Respostas:

13

se você permitir que seus usuários alterem um endereço de email, verifique o novo endereço de email e envie uma notificação para o endereço de email antigo. A verificação do novo email é mais opcional, mas como você verificou o endereço original que não está validando o novo é uma inconsistência, que pode transformar boas informações conhecidas em informações potencialmente inúteis. O email enviado para o endereço antigo é por motivos de segurança, caso a conta tenha sido comprometida, para que o usuário possa ser notificado e tomar medidas para recuperar a conta, se necessário.

Você também pode exigir que o usuário clique nos links de verificação enviados para ambos os emails no caso de uma alteração de email e bloqueie a conta até que ambos sejam verificados ou seu serviço de atendimento ao cliente seja contatado. Fazer algo assim realmente prejudica a facilidade de uso e só deve ser usado se seu aplicativo for algo que, se comprometido, pode causar perdas monetárias significativas ou perigo físico.

Ryathal
fonte
1
@Ryahtal - E se o usuário não tiver acesso à conta de e-mail antiga? Eu tenho esse problema o tempo todo ...
hanzolo
1
@hanzolo no primeiro caso, não importaria se você não tivesse acesso à conta de e-mail antiga; no segundo caso, você seria obrigado a entrar em contato com algum tipo de serviço ao cliente, e é por isso que esse método deve ser evitado por questões triviais. aplicativos, mas eu preferiria para um aplicativo bancário on-line.
precisa saber é o seguinte
@ Ryahtal - Estou assumindo que você quis dizer "não deveria" no final da última frase.
Steve Konves
3

Por que não fornecer qualquer verificação do e-mail no formulário?

Por fim, a pergunta que você precisa responder é "por que estamos verificando um endereço de e-mail" antes de poder responder se é necessária ou não uma nova verificação.

Se a ideia é realmente impor uma mentalidade de aceitação, uma nova verificação pode ser apropriada.

Se a idéia é garantir que eles não digitaram algo errado, fornecer um segundo campo para inserir novamente o novo endereço de e-mail para verificação pode ser suficiente.

E então você deve considerar como o usuário visualizará uma nova verificação. Sem conhecer o domínio do seu site, eu ficaria irritado por ter que fazê-lo. Mas reconhecerei que pode haver um domínio ou um caso de uso para onde eu, como usuário, deseja que você verifique novamente meu endereço de e-mail.


fonte
3

Verificar um endereço de e-mail fazendo com que o usuário o insira duas vezes é uma ideia estúpida (como resultado, também é uma ideia muito copiada). O usuário pode verificar o que inseriu pela primeira vez lendo. Exigir que uma senha seja digitada duas vezes faz sentido, pois o usuário não pode ler o que digitou (um controle de edição de senha típico mascara o texto real).

Stephen C. Steel
fonte