使用电子邮件作为用户名有什么优点和缺点?
你知道大多数login表单使用用户名和密码。
还有一些去了电子邮件和通行证。 他们有什么优点和缺点? 这是我想到的。
电子邮件的优点
- 还有一件事要记住(而不是记住一个用户名)
- 每个用户应始终是唯一的
- 还有一件事你需要让他们注册
缺点
- 如果他们改变电子邮件 – 可能试图使用他们的新电子邮件访问该网站?
- 对于忘记密码 – 它说“请input您的电子邮件”,他们已经放弃了他们的旧电子邮件 – 他们可能会被卡住。
我相信这是编程相关的,因为易于使用的Web应用程序是重要的,不应该被忽视。
另外要记住的是,如果其他用户也可以看到“用户名”,你不应该使用邮件地址由于隐私问题。
OpenID和OAuth …..只是看起来更好。 更less的用户来pipe理他们,并使一个地方更容易迁移。
是的,你必须小心。 我会坚持认为备用电子邮件地址(一个额外的configuration文件字段)不同于他们为用户使用的电子邮件地址。 许多系统也有一些其他的领域,然后可以用来validation自己,如果事情真的毛。 不过在这一点上,它通常需要技术支持电话。
根据系统的types,使用电子邮件可能是一个安全漏洞。 我知道你的电子邮件地址,我不知道你可能会把用户名提示。 如果能够轻松猜出用户名是一个问题,那么我不会使用电子邮件地址。
只要您提供更改电子邮件地址的方法,电子邮件就会生成一个好用户名。 LinkedIn提供这个,你创build一个电子邮件帐户作为用户名。 他们还允许您(一旦login)更改主电子邮件地址,然后将您的用户名更改为该电子邮件地址。
只要你做这样的事情,你应该全部设置。
我认为这个利弊大于安全方面的利益。 许多公司回收电子邮件地址,因此,如果用户不再使用电子邮件地址(删除他/她的电子邮件帐户),它可能会被回收给任何其他人使用。
在这种情况下,任何其他人可能会收到贵组织的定期信件。 这让新用户知道该帐户的以前的用户曾经与您的组织login。 如果您使用简单的基于电子邮件的密码重置,没有额外的检查,如安全问题,那么他们所需要做的就是使用他们现在拥有的电子邮件地址恢复密码,他们有权访问该人的帐户。
我希望你不是为一家银行编程。 USBank.com使用用户名,而不是电子邮件。 我也有一个信用社的帐户,他们也不使用电子邮件,而是使用帐号,他们永远不会回收。
如果安全是重中之重,请不要使用电子邮件。
使用电子邮件作为用户名时可能出现的另一个问题是“用户收获”攻击。 例如,如果您有“更改电子邮件”页面或创build新用户,如果新用户插入已经存在的电子邮件,那么应用程序将不得不发回错误。 因此,攻击者可以通过执行一个简单的脚本来发现应用程序中的所有用户(如果用户不存在,它将被添加)
电子邮件(专业) – 减less帐户创build垃圾邮件,因为您可以通过发送电子邮件确认他们的帐户。
答:当你需要在网站和电子邮件等应用程序之间共享一个用户名时,可能会引起安全问题。 例如,如果电子邮件用于用户名,那么访问网站中的用户名的人也将有权访问电子邮件地址。 通常这不是问题,但可以。 除非有一个共同的login程序,否则,除非安全性不重要,否则在应用程序之间保持用户名和密码是分开的。
CON:这是用户和垃圾邮件发送者之间的隔离层。 如果不知何故,有人得到一个完整的用户名单,他们将能够垃圾所有的用户。 但是,如果网站使用用户名,电子邮件作为辅助字段,这不是一个问题。
除非他们获得所有的用户数据,当然,但这是一个更大的问题。
我已经为b2b应用程序做了这个工作,当用户离开某个客户公司时,他人正在使用旧的停用的电子邮件地址作为login,并故意不改变它以避免收到我们的电子邮件。
我们结束了密码重置电子邮件,反弹和支持电话修复事情。
另一个注意事项,如果你要允许帐户公开,不需要用户名意味着你必须允许“显示名称”(你肯定不会显示一个电子邮件地址),但如果你的用户想要使用他们真实姓名有可能会导致混淆重复名称(思考两个SO评论者没有图片和相同的名称,假设是,这是同一个人,除非你点击一个完整的configuration文件)。 在这种情况下,你必须强制一个独特的显示名称(这可能会阻止某人使用真实姓名),或者只是接受你可能有两个鲍勃·约翰逊挂在混乱的人身上。
当您使用电子邮件地址时,会员更改其用户名更容易,例如,当pwng0d69想要被称为Jon Skeet时。 然而,对于每个要求提供我的电子邮件地址的网站,我个人都会对潜在的垃圾邮件的另一个来源感到畏惧。
使用Open ID 🙂
PRO:看来有些服务正在考虑把电子邮件作为识别网上特定用户的标准:
CON:这还没有发生,还有很多其他的选项,比如OpenAuth和OpenID,都有一些支持(你也可以使用Facebook传播login)。
只需量身定制你的应用程序的目标受众将是什么。
在公司所有权发生更改之前,我们使用了Arena Solutions的“产品生命周期pipe理”软件。 这是所有您的敏感公司数据托pipe在离岸的地方,并可以从任何地方通过浏览器访问的交易之一。
竞技场PLM被吹捧为高度安全,但(默认)行为是要求一个电子邮件地址作为用户名。 它允许强有力的密码与有效期限,但是当我的密码过期,我被告知我可以select另一个,或只是继续使用旧的!
我认为安全声明是基于使用SSH进行数据传输的,但在我看来,确定的人可以login,因为
- 用户名是公开的公司电子邮件地址,和
- 有很多时间猜测密码,因为一个懒惰的用户不会select一个新的。
当然,这意味着必须强制使用和更新强密码。