Каковы преимущества и недостатки использования электронной почты в качестве имени пользователя?

Ответ 1

Еще одна вещь, которую следует помнить, это то, что если другие пользователи также могут видеть "имя пользователя", вам не следует использовать почтовые адреса из-за проблем с конфиденциальностью.

Ответ 2

OpenID и OAuth..... Это просто кажется лучше. Еще меньше пользователей для управления ими, и это облегчает миграцию в одном месте при изменении.

Да, вы должны быть осторожны. Я бы настаивал на том, что резервный адрес электронной почты (дополнительное поле профиля) отличается от адреса электронной почты, который они используют для пользователя. Многие системы также имеют некоторые другие поля, которые затем могут использоваться для аутентификации, если все становится действительно волосатым. На данный момент, однако, для этого часто требуется вызов технической поддержки.

В зависимости от типа системы использование электронной почты может быть уязвимостью безопасности. Я знаю ваш адрес электронной почты, я не знаю, что вы могли бы ввести в приглашение имени пользователя. Если уметь легко угадать имя пользователя, это проблема, тогда я бы не использовал адрес электронной почты.

Ответ 3

Email делает хорошее имя пользователя, пока вы предоставляете средства для изменения адреса электронной почты. LinkedIn предоставляет это при создании учетной записи с адресом электронной почты в качестве имени пользователя. Они также позволяют вам (после входа в систему) изменить основной адрес электронной почты, который затем изменяет ваше имя пользователя на этот адрес электронной почты.

Пока вы делаете что-то подобное, вы должны быть установлены.

Ответ 4

Я считаю, что недостатки перевешивают плюсы, в которых обеспечена безопасность. Многие компании перерабатывают адреса электронной почты, поэтому, если пользователь больше не использует адрес электронной почты (удаляет свою учетную запись электронной почты), он МОЖЕТ быть возвращен обратно для любого другого человека, который будет использоваться.

В этом случае любое другое лицо может получать периодическую корреспонденцию от вашей организации. Это позволяет новому пользователю узнать, что предыдущий пользователь учетной записи имел свой логин в вашей организации. Если вы используете простой сброс пароля по электронной почте, без дополнительных проверок, таких как вопросы безопасности, тогда все, что им нужно сделать, это восстановить пароль, используя адрес электронной почты, который у них теперь есть, и у них есть доступ к этой учетной записи.

Надеюсь, вы не программируете банк. USBank.com использует имя пользователя, а не адрес электронной почты. У меня также есть учетная запись в кредитном союзе, и они не используют электронную почту, но вместо этого используют номера учетных записей, которые они никогда не перерабатывают.

Если безопасность является приоритетом, никогда не используйте электронную почту.

Ответ 5

Другая проблема, которая может возникнуть при использовании электронной почты в качестве имени пользователя, - атака пользователя. Например, если у вас есть страница "изменить адрес электронной почты" или при создании нового пользователя, если новый пользователь вставит электронное письмо, которое уже существует, приложение должно будет отправить обратно ошибку. Следовательно, злоумышленник может обнаружить всех пользователей в приложении, выполнив простой script (в случае, если пользователь не существует, он будет добавлен)

Ответ 6

Email (pro) - уменьшает возможности создания учетной записи, поскольку вы можете подтвердить свою учетную запись, отправив им электронное письмо.

Ответ 7

Con: Когда вам требуется, чтобы имя пользователя делилось между такими приложениями, как веб-сайт и электронная почта, это может вызвать проблемы с безопасностью. Например, тот, кто имеет доступ к именам пользователей на веб-сайте, также будет иметь доступ к адресам электронной почты, если адрес электронной почты используется для имени пользователя. Обычно это не проблема, но это может быть так. Как правило, хорошей политикой является сохранение имен пользователей и паролей между приложениями, если не существует общей процедуры входа в систему или если безопасность не важна.

Ответ 8

CON: Это один менее изолирующий слой между пользователем и спамерами. Если каким-то образом кто-то получит полный список имен пользователей, они смогут спамить всех ваших пользователей. Но если сайт использует имена пользователей, поскольку электронные письма являются вторичным полем, это не вызывает беспокойства.

Если они не получат все пользовательские данные, конечно, но это гораздо более серьезная проблема.

Ответ 9

Я сделал это для приложений b2b и его реальной боли, когда пользователь покидает клиентскую компанию, кто-то другой использует старый деактивированный адрес электронной почты в качестве логина и намеренно не меняет его, чтобы не получать от нас электронную почту.

В итоге мы получим пароль reset, который отскакивает и поддерживает вызовы для исправления.

Ответ 10

Еще одна заметка о том, что вы разрешаете учетным записям быть общедоступными, заключается в том, что не требуется имя пользователя означает, что вы должны разрешить "Отображать имя" (вы, конечно, не указали адрес электронной почты), но если ваши пользователи хотят чтобы использовать их настоящие имена, существует потенциал для дубликатов имен, которые могут вызвать путаницу (подумайте обо всех комментаторах SO без картин и с тем же именем, предполагается, что это тот же человек, если вы не перешли к полному профилю). В этом случае вам придется либо форсировать уникальное отображаемое имя (которое может заставить кого-то использовать настоящее имя), либо просто принять, что у вас может быть два Боба Джонсона, которые висят вокруг запутывающих людей.

Ответ 11

Когда вы используете адреса электронной почты, пользователю проще изменить свое имя пользователя, например, когда pwng0d69 хочет быть известным как Jon Skeet. Однако для каждого сайта, который запрашивает мой адрес электронной почты, я лично сжимаю еще один источник потенциального спама.

Использовать Open ID:)

Ответ 12

PRO: Кажется, что некоторые службы рассматривают возможность создания электронной почты для идентификации конкретного пользователя по сети:

например. http://www.techcrunch.com/2009/08/14/google-points-at-webfinger-your-gmail-address-could-soon-be-your-id/

CON: Это еще не произошло, и есть много других опций, таких как OpenAuth и OpenID, которые есть сейчас и имеют некоторую поддержку (у вас также есть вход с использованием расширения Facebook).

Просто настройте свой выбор для идентификации независимо от целевой аудитории вашего приложения.

Ответ 13

Мы использовали программное обеспечение для управления жизненным циклом продуктов Arena Solutions, прежде чем изменение в собственности компании обязало изменения. Это была одна из тех сделок, в которой все ваши данные о важной компании размещены где-то в оффшорах и могут быть доступны браузером из любого места.

Арена PLM рекламировалась как очень безопасная, но поведение (по умолчанию) требовало, чтобы адрес электронной почты являлся именем пользователя. Это дало сильные пароли с датой истечения срока действия, но когда мой пароль истек, мне сказали, что я могу выбрать другой или просто продолжать использовать старый!

Я думаю, что требования безопасности были основаны на использовании SSH для передачи данных, но мне показалось, что определенный человек может войти в систему, потому что

• Имена пользователей были общедоступными фирменными адресами электронной почты и
• Было достаточно времени, чтобы угадать пароль, потому что ленивый пользователь не выбирал новый.

Это означает, конечно, что использование и обновление надежных паролей должно быть принудительно выполнено.