Quels sont les avantages et les inconvénients de l'utilisation d'une adresse email comme identifiant d'utilisateur?

Je suis en train de créer une application qui nécessite une inscription/authentification, et je suis envisage d'utiliser une adresse e-mail que le seul nom d'utilisateur. Voici ce que je vois que les avantages et les inconvénients (mis à jour avec les réponses):

PROS

  1. Moins un champ à remplir lors de l'inscription (il serait juste l'adresse email, mot de passe et confirmer le mot de passe). Je suis un grand fan de minimaliste enregistrement.

  2. Une adresse e-mail est plus facile à retenir. (merci Mitch, Jeremy)

  3. Vous n'avez pas à vous soucier de votre nom d'utilisateur préféré être pris déjà - que vous êtes la seule personne à utiliser votre adresse e-mail. (merci TStamper)

CONTRE

  1. Utilisateur a plus de taper à chaque fois qu'ils se connectent.

  2. Si un utilisateur veut plusieurs comptes? Ils ont besoin d'une autre adresse e-mail. (Je ne veux même à un utilisateur d'être en mesure de créer plusieurs comptes?)

  3. Facile pour un attaquant potentiel de deviner (si ils savent la cible à l'adresse de courriel, ils savent que l'id de connexion). (merci Vasil)

  4. Les utilisateurs peuvent être tentés d'utiliser le même mot de passe qu'ils utilisent pour leur compte e-mail, ce qui est mauvais de sécurité. (merci Thomas)

  5. Si vous changez d'adresse électronique fréquemment, il peut être difficile de se rappeler de l'adresse que vous avez utilisé pour vous inscrire à un site après une longue interruption. (merci Logiciel De Singe)

  6. Un hacker pourrait spam le formulaire d'inscription et d'utilisation "e-mail déjà pris" des réponses à générer une liste d'e-mails valides. (merci David)

  7. Pas tout le monde a une adresse e-mail. (merci Nicolas)

Si je suis allé avec l'e-mail comme identifiant, je voudrais fournir un mécanisme pour lui permettre d'être modifié dans le cas d'un utilisateur change d'adresse ip. Dans ce cas, les utilisateurs ne seraient pas en publiant un contenu sur un site public, un autre nom d'utilisateur ne sera pas nécessaire pour protéger les adresses e-mail (mais c'est quelque chose à considérer pour les autres sites).

Une autre option est de mettre en œuvre OpenID (qui est un tout autre débat).

Cela semble fonctionner pour Google, mais leurs services sont étroitement intégrés. Qu'ai-je raté dans mon analyse? Avez-vous des recommandations? Quelqu'un aurait-il une expérience à partager?

MONTAGE FINAL

Merci à tous pour vos réponses. J'ai décidé d'utiliser l'email comme identifiant, mais alors permettre la création d'un nom d'utilisateur pour la connexion après l'enregistrement. Cela permet un peu de souplesse tout en gardant l'enregistrement le plus court possible. Il empêche également des problèmes quand un utilisateur modifie les adresses e-mail (ils peuvent se connecter avec leur nom d'utilisateur et le mettre à jour). Je vais aussi mettre en œuvre des méthodes pour prévenir la brute-forcer des adresses e-mail de l'inscription et de connexion des systèmes (principalement une période de refroidissement après des tentatives répétées).

  • Votre première PRO n'est pas vrai dans tous les cas, parce que votre utilisateur aura encore besoin d'un nom d'utilisateur pour l'affichage du contenu sur votre site.
  • Vous devez éditer votre question sur une courte liste de pro/con de les réponses.
  • si une réponse vous a aidé, merci de l'accepter. Merci
  • OU vous pouvez uniquement afficher "IDENTIFIANT / Mot de passe n'est pas correcte. Veuillez essayer de nouveau ou de réinitialiser votre mot de passe." Quelle que soit la méthode que vous utilisez, n'oubliez pas aussi de l'utilisation des contre-mesures dans le "réinitialiser votre mot de passe" à la page pour les araignées.
InformationsquelleAutor vamin | 2009-03-15
  1. 4

    J'ai tendance à ne pas préférer pro/con listes, et au lieu de cela, essayez de penser à des avantages et des défis.

    Défi:

    Certains utilisateurs seront tentés d'utiliser leur adresse e-mail de leur FAI. Les liens vers e-mail, peut être difficile pour les utilisateurs qui oublient de mettre à jour leur e-mail à tous les sites web qu'ils ont signé pour avant de changer de Fai.

    À la place:

    Vous devriez envisager de permettre à un utilisateur de fournir de multiples adresses, ainsi sélectionné par l'utilisateur id et ensuite permettre à l'utilisateur de décider ce qu'ils veulent ils veulent faire. Peut-être aussi envisager de permettre à l'utilisateur de fournir un OpenID compte.

    InformationsquelleAutor Zoredache
  2. 31

    Personnellement, je préfère juste en utilisant mon adresse email comme nom d'utilisateur. C'est une chose de moins à se souvenir, et je n'ai jamais à vous soucier de mes préféré le nom étant déjà pris.

    Juste mes 2 cents!

    InformationsquelleAutor Jeremy
  3. 25

    Je pense que vous avez raté un PRO:

    Les utilisateurs sont susceptibles de se souvenir de leur adresse e-mail; et que les adresses e-mail sont uniques, ils n'ont jamais à vous soucier de leur pseudo préféré être prises.

    InformationsquelleAutor Mitch Wheat
  4. 12

    CONTRE

    1. Lorsque le même mot de passe est utilisé pour le compte e-mail, compromettant l'un signifie automatiquement compromettre l'autre.
    • C'est une question qui doit être élevé. Tout le monde devrait utiliser un unique mot de passe pour leur compte de messagerie.
    • Ils devraient, mais ils ne le font pas. Triste mais vrai.
    • Ce n'est pas un problème avec l'utilisation de cette méthode. C'est un problème pour l'utilisateur. Je ne considère donc pas un con.
    • Si votre e-mail mot de passe est compromis, vous êtes dans un tas d'ennuis, et que c'est votre problème, pas le mien (en parlant comme un administrateur d'un site qui utilise des e-mails pour les connexions).
    • C'est souvent le cas à chaque fois qu'une adresse e-mail est associée à un compte, non seulement lorsque l'adresse e-mail est utilisé comme identifiant. La plupart des services fournissent un moyen de réinitialiser le mot de passe si vous le contrôle de l'e-mail du compte.
    • vous avez raison. Je pensais que c'était une chose, mais bien sûr l'adresse e-mail est quelque part dans le profil de l'utilisateur de l'information, afin de compromettre le compte sur le site web signifie aussi qu'ils peuvent obtenir dans votre e-mail. C'est juste un petit peu moins simple.

    InformationsquelleAutor Thomas
  5. 11

    En tant qu'utilisateur des sites web, je peux vous dire que je déteste inutile de mémoriser les noms d'utilisateur. Je n'utilise pas une unique poignée ou quoi que ce soit, donc je ne me souviens jamais lequel la variation de mon nom que j'ai utilisé n'était pas déjà pris. Je préfère taper mon adresse e-mail.

    Aussi, j'aime OpenID.

    • Vous êtes un utilisateur de sites web? 😉
    • J'ai beaucoup moins de noms d'utilisateur que je ne adresses e-mail.
    InformationsquelleAutor BC.
  6. 11

    CON: Pas tout le monde a une adresse e-mail. Considérez si votre base de données est toujours accessible par une application interne. Si vous exécutez un magasin, les gens sera appeler et de passer une commande par téléphone et de refuser de fournir une adresse e-mail. Donc, tout en ayant une adresse e-mail de l'ID utilisateur par défaut est cool, assurez-vous de prévoir des remplaçants pour entrer dans le système. (Bien sûr, cela dépend du contexte.)

    Appris ce l'un de l'autre.

    • Évidemment, votre réponse est liée à des sites e-commerce, pour la plupart des autres sites web vous demandent généralement à l'utilisateur de vérifier ou de confirmer leurs comptes en leur envoyant un message à leurs adresses e-mail avec un lien pour activer son compte, bas de ligne et une adresse e-mail est nécessaire de toute façon
    • Nous organisons un site e-commerce et de nous utiliser pour inscrire les gens sur le téléphone avec <<numéro de téléphone>>@<<ourdomain>>. 99,9% des gens ont un e-mail si ce n'est pas quelque chose que nous avons à faire beaucoup, mais il fonctionne.
    InformationsquelleAutor Nicholas Piasecki
  7. 3

    Un programme d'installation, vous souhaitez mai à envisager: Avoir à la fois un nom d'utilisateur et un e-mail. Le courrier électronique est utilisé pour la connexion et est toujours maintenu privé, le nom d'utilisateur est utilisé pour identifier l'utilisateur en toute interagir avec le public, comme la publication d'un commentaire. Il finit par devenir un peu plus sécurisé que les deux moitiés de l'utilisateur informations de connexion sont conservées privé, tandis que si vous utilisez un nom d'utilisateur pour les deux de connexion et l'identification du public, la moitié de la connexion qui est déjà connu.

    Je suis absolument d'accord avec vous sur le fait d'avoir minimal d'inscription pour la plupart des cas, mais en fonction de ce que vous faites, vous pouvez le balancer contre plus de sécurité pour vos utilisateurs. Quatre champs n'est pas scandaleux pour l'enregistrement, la (nom d'utilisateur, email, mot de passe, confirmez le mot de passe), et si vous vous sentez particulièrement aventureux, vous pouvez le couper à trois en laissant tomber le champ confirmer le mot de passe, ou les deux, par l'envoi d'un mot de passe qu'ils peuvent changer par la suite.

    • Le nom d'utilisateur que vous faites allusion, est généralement appelé le nom complet, je pense.
    InformationsquelleAutor VirtuosiMedia
  8. 2

    PRO

    Les gens détestent avoir à créer un nom unique qui s'adapte à leur id et qui n'a pas déjà été prises pour s'inscrire à un site..Donc c'est pourquoi l'id utilisateur que ADRESSE EMAIL est donc adopté.

    ex:TStamper1930, qui, en fait, veut rappeler 1930 à la fin de mon nom que je voulais vraiment

    • non...lol c'était juste un exemple..im 22.vérifier mon profil
    InformationsquelleAutor TStamper
  9. 2

    CON: Si un pirate peut essayer de l'inscription aléatoire des adresses de courriel en masse, il ou elle sera en mesure de déterminer lequel de ces adresses sont valides sur la base de laquelle des enregistrements d'échouer. C'est une tactique qui peut être utilisé pour mettre ensemble des listes de connu adresses e-mail valides, qui sont une denrée rare sur le spam sur le marché noir.

    Bien que maintenant que j'y pense, c'est un problème qui affecte tout site internet qui demande une adresse e-mail dans le cadre de la procédure d'inscription, indépendamment de si oui ou non il y a un nom d'utilisateur séparé. Mais c'est toujours quelque chose à penser.

    • Un site web devrait probablement être le programme d'installation détecte et liste noire, ce genre de tentative malicieuse.
    • Cette même personne pourrait juste essayer d'envoyer aléatoire des adresses (dont vous dites qu'ils seront génératrices de toute façon), et voir ceux qui vous faire livrer et qui ne le sont pas. Cela serait d'autant plus facile que d'essayer de passer par un site web.
    • Votre site ne doit jamais laisser l'utilisateur de savoir si l'email est déjà enregistré.
    • C'est une bonne idée. Si quelqu'un essaie de vous inscrire avec une adresse e-mail qui est déjà en cours d'utilisation, le service web pourrait simplement répondre "Merci. Un email de confirmation a été envoyé à ...". Et puis dans ce mail de confirmation, il pourrait y avoir un message: "Vous avez déjà un compte avec nous. Si vous avez oublié votre mot de passe, ..." — Oh je viens de remarquer que c'est exactement comment la 3ème partie de la bibliothèque d'authentification que j'utilise fonctionne 🙂
    InformationsquelleAutor David Z
  10. 2

    CON: Si je change mon adresse e-mail, du coup tous mes noms de compte ne sont pas valides. Mon nom ne change pas, mais mon e-mail n'est souvent. J'ai parfois revisitée d'un site après un certain nombre d'années, et a été coincé... ce qui était mon adresse e-mail il y a deux ans???

    • J'ai eu la même adresse e-mail principale pour plus d'une décennie maintenant, étant passée de celui que j'avais été à l'aide de 7 ans. Je suppose que je suis sur la fin extrême du spectre, mais les gens vraiment changer leur qui souvent?
    • Oui, jusqu'à ce que j'ai mon propre nom de domaine, mon e-mail a été lié à mon fournisseur d'accès internet (je n'aime pas les services comme HotMail), de sorte qu'il a changé plusieurs fois au fil des ans que j'ai changé de fournisseurs de rtc à l'adsl en WiFi.
    • Je ne pense pas que changer des e-mails est une situation souvent pour la plupart des utilisateurs. Mais je vois un point sur ce CON: si c'est le cas, vous n'avez pas le choix de la connexion. Mais, s'il vous plaît corrigez-moi si je me trompe, même si vous utilisez un nom d'utilisateur (au contraire), et vous avez oublié votre mot de passe, que le lien de récupération de mot de passe sera envoyé à votre (deux ans) e-mail. Et vous ne pouvez toujours pas de connexion. Donc, autant que je puisse en penser, il semble que le problème de votre poste peut être appliquée sur les deux situations, la ligne de fond de l'être: "Si vous perdez votre e-mail, ou vous avez oublié votre e-mail, vous pouvez avoir des problèmes connecté sur les sites, quel que soit le système de connexion".
    InformationsquelleAutor Lawrence Dol
  11. 2

    En tenir à des adresses email qu'ils sont utilisés partout, en fait la plupart des sites importants, ils sont uniques, de sorte qu'ils économiser de l'utilisateur de la difficulté à trouver un nom qui n'est pas utilisé par d'autres, aussi les utilisateurs de ne pas l'oublier leurs adresses e-mail (dans la plupart des cas au moins :)), qui est à la différence des noms d'utilisateur que sur l'oubli, s'ils ne visitent pas votre site très souvent.

    Vous ne devriez pas être inquiet pour eux d'être trop long que tous les principaux navigateurs (IE, FF, etc...) offrent la saisie semi-automatique des formes qui est activé par défaut, donc vous tapez les premières lettres de votre e-mail et vous obtenez une liste déroulante (ie. liste de saisie semi -) où il vous suffit de cliquer pour accéder à l'ensemble de l'e-mail, personnellement, je n'ai presque jamais tapez l'adresse e-mail dans son intégralité, j'ai toujours taper les premières lettres puis sélectionnez l'e-mail de la saisie semi-automatique dans la liste déroulante. En outre, si vous autorisez les utilisateurs à se rappeler (à l'aide d'une case se Souvenir de Moi et des cookies persistants), ce sera une autre raison de ne pas s'en soucier.

    Je ne sais pas au sujet de votre application, mais, habituellement, les utilisateurs disposant de plusieurs comptes n'est pas souhaitable dans la plupart des applications.

    InformationsquelleAutor Waleed Eissa
  12. 1

    Un con peut-être que si c'est une adresse e-mail, la connexion peut être deviné par les personnes et les attaques par force brute tentée. Ce qui n'est pas vraiment un gros problème, car sur la plupart des sites aujourd'hui, les connexions sont affichés publiquement.

    Le plus grand pro est que les connexions sont faciles à retenir de cette façon.

    InformationsquelleAutor Vasil
  13. 1

    Une bonne configuration est d'obliger le nom d'utilisateur et e-mail. Permettant à l'utilisateur de se connecter soit avec l'adresse email ou nom d'utilisateur est très conviviale. Un avantage supplémentaire est que l'utilisateur peut modifier son adresse e-mail. Elle permettrait également de multiples comptes pour un seul e-mail.

    InformationsquelleAutor Cadoo
  14. 1

    Pour résoudre vos con élément de l'e-mail étant trop long à taper à chaque fois. J'ai mis en œuvre la StringScan Ruby bibliothèque.

    require 'strscan'    
def signup!(user, &block)    
self.email = user[:email] unless user[:email].blank?    
str = StringScanner.new(self.email)    
str.scan_until(/@/)    
str.pre_match    
self.login = str.pre_match

    etc..

    Alors il suffit de changer la méthode d'identification pour permettre à e-mail ou login pour correspondre à votre mot de passe.

    Cela fonctionne exactement comme google ou mobileme. Un utilisateur peut choisir de simplement taper le nom d'utilisateur de messagerie (ie. nom d'utilisateur au lieu de [email protected].)

    InformationsquelleAutor Steve
  15. 0

    Si vous ne se soucient pas de forcer les utilisateurs à se connecter à votre application avec Facebook ou quelque autre réseau social (la plupart des gens ne semblent pas s'en soucier), alors vous pouvez simplement utiliser leur réseau social e-mail comme leur "user id' lors de la référence à d'autres tables/documents (MySQL, Mongo, etc).

    J'ai remarqué que le bonus de l'utilisation des médias sociaux connexions que l'ensemble de la sécurité a été pris en charge par le réseau social, notamment en ne permettant pas 2 utilisateurs ont le même e-mail ou nom d'utilisateur dans leur base de données, vous faisant ainsi économiser les tracas d'avoir à code pour tout cela. C'est juste ma préférence personnelle.

    InformationsquelleAutor Brett84c