Por que a maioria dos sites exige ativação de email [fechada]

13

Atualmente, os aplicativos mais populares exigem a ativação da conta por email. Eu nunca fiz isso com aplicativos que desenvolvi, estou perdendo algum recurso de segurança crucial?

Por ativação de email, quero dizer que quando você se registra em um site, eles enviam um email com um link no qual você precisa clicar antes de sua conta ser ativada.

palto
fonte
1
Eles querem garantir que você forneça seu endereço de e-mail real, não um falso.
218 Andy Andy
A esperança de deixar isso SQRL vai mudar esta coisa muito chato
sakisk
1
Eu recebi várias boas respostas sobre isso. O problema é que talvez eu tenha perguntado errado, porque presumi que devesse ser por causa da segurança. A opção Confirmar confirmação é garantir que não enviemos spam para pessoas que não o desejam.
palto
Então, novamente, a aceitação confirmada pode ter a ver com segurança, porque sem ela um usuário mal-intencionado pode registrar vários endereços falsos. Se você continuar enviando e-mails para esses endereços, poderá acabar em uma lista de spam.
palto
1
Esta pergunta parece estar fora de tópico, porque se trata de segurança da informação. É muito provável que esta pergunta já tenha perguntas e respostas semelhantes. Possível duplicata: security.stackexchange.com/questions/13983/… Obrigado.
Maple_shaft

Respostas:

25

A ativação confirma que o email é seu. Não se trata tanto de ser falso ou inexistente, mas de ser seu e eles precisam dele para uma maneira alternativa / de planejamento-b de autenticação, em primeiro lugar.

Nikolay Tsenkov
fonte
1
Essa é a resposta mais relevante em relação à segurança. E se eu me registrar no SEU email? No entanto, eu acho que pode haver outras razões envolvidas, como a redefinição de senhas , enviando importante e / ou informações pessoais, promoção, etc.
Francisco Presencia
Se você se registrar com meu e-mail, recebo a solicitação de confirmação e isso deve me deixar desconfiado. E, é claro, preciso ter certeza de que o email está correto, porque, por exemplo, é possível redefinir a senha.
Andrea Girardi
3
+1, mas "o email é seu" não é bem verdade. Ele garante apenas que a pessoa que se inscreve tenha acesso à conta de email. Nada mais.
Marjan Venema
9

A maioria dos serviços da Web deseja entrar em contato com os usuários e usar email para isso. Em particular, o usuário esquece sua senha, o fato de poder ler um email no endereço que o serviço registra os autentica como o usuário legítimo, com permissão para redefinir a senha. O email também pode ser uma maneira de informá-lo sobre atualizações importantes (também conhecidas como spam).

Para que o serviço valide o email, ele deve garantir que o usuário que está criando a conta tenha acesso a esse email. Isso serve para proteger o usuário contra erros de digitação no endereço de email e para proteger a capacidade de spam do site.

Você não precisa solicitar um email para assinar seu serviço. No entanto, quando os usuários esquecem suas credenciais, ficam infelizes. As redefinições de senha de e-mail são a norma.

Se o usuário escolher um endereço de email descartável, é uma escolha deliberada dele não ter controle exclusivo sobre a conta. Alguns sites que desejam enviar spam tentam rejeitar esses endereços, embora isso seja inútil (sites grandes como o Gmail também permitem que você crie endereços descartáveis).

Gilles 'SO- parar de ser mau'
fonte
7

A opção de aceitação confirmada também pode ser feita para cumprir as leis antispam por outro motivo para enviar um link no e-mail.

JB King
fonte
Sim. Seria tão fácil para alguém para se inscrever outra pessoa que ele tomou uma antipatia para por alguns milhares de listas de discussão ...
jwenting
1

Sim você é. Ao verificar o endereço de e-mail, você garante que o titular da conta seja o proprietário desse endereço.

Posteriormente, se outra pessoa tentar se inscrever com o mesmo endereço, isso não será possível, pois você já confirmou que o proprietário correto já tem a conta.

Basicamente, garante às pessoas quem elas dizem que são. Se você tivesse um site de rede social onde as pessoas pudessem adicionar contatos por endereço de email, isso limitará o que um usuário fraudulento poderia fazer usando o endereço de outra pessoa.

SilverlightFox
fonte
"possui esse endereço" Ele garante apenas que quem está se inscrevendo tenha acesso à conta de email. Nada mais.
Marjan Venema
@MarjanVenema Mais tecnicamente: acesso ao fluxo HTTP pelo qual o email passa ou ao armazenamento em que o email reside, mas para a maioria das intenções e propósitos, você está impedindo que outra pessoa se inscreva usando o endereço de outra pessoa.
SilverlightFox
Na verdade, não conte com quem usa o endereço de e-mail sendo o proprietário desse endereço. As pessoas compartilham muitas coisas com seus amigos e familiares. Quando as coisas dão errado, contas falsas são criadas usando as "credenciais" de antigos amigos / parceiros.
Marjan Venema
1

Alguns motivos usados ​​com freqüência são:

  • Verifique se o endereço de email é válido.
  • Verifique se o usuário possui o endereço de email.
  • Certificando-se de que o usuário QUER se inscrever.
  • Garantir que a comunicação futura possa processar adequadamente.
  • Dando ao usuário uma confirmação de que ele se inscreveu e uma trilha digital.
Nzall
fonte
Essa é apenas a sua opinião pessoal ou você pode apoiá-la de alguma forma?
Gnat
Eu acho que minha escolha de palavras foi um pouco errada. Não pretendia dar uma classificação ou estado "essas são sempre as razões mais frequentemente usadas", mas mais como um resumo, indicando "Essas são razões frequentes para exigir ativações, mas não em nenhuma ordem ou classificação específica". Eu editei minha postagem para esclarecer isso.
Nzall 17/03/14
2
"Certificando-se de que o usuário possua o endereço de email." Ele garante apenas que a pessoa que se inscreve tenha acesso à conta de email. Nada mais.
Marjan Venema
1

Eu acho que depende das possibilidades que você oferece ao seu usuário. Ele ou ela pode enviar mensagens para outros usuários e enviá-los com publicidade? Ele ou ela pode postar em seu site e publicar anúncios de Viagra em qualquer lugar? Ele pode carregar muitos arquivos e preencher seu precioso espaço no servidor. Se existir alguma das opções acima ou qualquer outra coisa que possa ser usada para enviar spam ou lixeira para o servidor, você deseja que seja o mais difícil possível para que os spammers se inscrevam no seu site. Portanto, a autenticação de e-mail é outra etapa que dificulta que os spammers finjam ser humanos.

Para conseguir isso, você deve usar a autenticação de email com um formulário que dificulte o preenchimento de máquinas usando um captcha ou outras técnicas e também deve bloquear os serviços de email do lixo.

Christoph
fonte