Quels sont les avantages et les inconvénients de l'utilisation d'une adresse email comme identifiant d'utilisateur?
Je suis en train de créer une application qui nécessite une inscription/authentification, et je suis envisage d'utiliser une adresse e-mail que le seul nom d'utilisateur. Voici ce que je vois que les avantages et les inconvénients (mis à jour avec les réponses):
PROS
-
Moins un champ à remplir lors de l'inscription (il serait juste l'adresse email, mot de passe et confirmer le mot de passe). Je suis un grand fan de minimaliste enregistrement.
-
Une adresse e-mail est plus facile à retenir. (merci Mitch, Jeremy)
-
Vous n'avez pas à vous soucier de votre nom d'utilisateur préféré être pris déjà - que vous êtes la seule personne à utiliser votre adresse e-mail. (merci TStamper)
CONTRE
-
Utilisateur a plus de taper à chaque fois qu'ils se connectent.
-
Si un utilisateur veut plusieurs comptes? Ils ont besoin d'une autre adresse e-mail. (Je ne veux même à un utilisateur d'être en mesure de créer plusieurs comptes?)
-
Facile pour un attaquant potentiel de deviner (si ils savent la cible à l'adresse de courriel, ils savent que l'id de connexion). (merci Vasil)
-
Les utilisateurs peuvent être tentés d'utiliser le même mot de passe qu'ils utilisent pour leur compte e-mail, ce qui est mauvais de sécurité. (merci Thomas)
-
Si vous changez d'adresse électronique fréquemment, il peut être difficile de se rappeler de l'adresse que vous avez utilisé pour vous inscrire à un site après une longue interruption. (merci Logiciel De Singe)
-
Un hacker pourrait spam le formulaire d'inscription et d'utilisation "e-mail déjà pris" des réponses à générer une liste d'e-mails valides. (merci David)
-
Pas tout le monde a une adresse e-mail. (merci Nicolas)
Si je suis allé avec l'e-mail comme identifiant, je voudrais fournir un mécanisme pour lui permettre d'être modifié dans le cas d'un utilisateur change d'adresse ip. Dans ce cas, les utilisateurs ne seraient pas en publiant un contenu sur un site public, un autre nom d'utilisateur ne sera pas nécessaire pour protéger les adresses e-mail (mais c'est quelque chose à considérer pour les autres sites).
Une autre option est de mettre en œuvre OpenID (qui est un tout autre débat).
Cela semble fonctionner pour Google, mais leurs services sont étroitement intégrés. Qu'ai-je raté dans mon analyse? Avez-vous des recommandations? Quelqu'un aurait-il une expérience à partager?
MONTAGE FINAL
Merci à tous pour vos réponses. J'ai décidé d'utiliser l'email comme identifiant, mais alors permettre la création d'un nom d'utilisateur pour la connexion après l'enregistrement. Cela permet un peu de souplesse tout en gardant l'enregistrement le plus court possible. Il empêche également des problèmes quand un utilisateur modifie les adresses e-mail (ils peuvent se connecter avec leur nom d'utilisateur et le mettre à jour). Je vais aussi mettre en œuvre des méthodes pour prévenir la brute-forcer des adresses e-mail de l'inscription et de connexion des systèmes (principalement une période de refroidissement après des tentatives répétées).
- Votre première PRO n'est pas vrai dans tous les cas, parce que votre utilisateur aura encore besoin d'un nom d'utilisateur pour l'affichage du contenu sur votre site.
- Vous devez éditer votre question sur une courte liste de pro/con de les réponses.
- si une réponse vous a aidé, merci de l'accepter. Merci
- OU vous pouvez uniquement afficher "IDENTIFIANT / Mot de passe n'est pas correcte. Veuillez essayer de nouveau ou de réinitialiser votre mot de passe." Quelle que soit la méthode que vous utilisez, n'oubliez pas aussi de l'utilisation des contre-mesures dans le "réinitialiser votre mot de passe" à la page pour les araignées.
Vous devez vous connecter pour publier un commentaire.
J'ai tendance à ne pas préférer pro/con listes, et au lieu de cela, essayez de penser à des avantages et des défis.
Défi:
Certains utilisateurs seront tentés d'utiliser leur adresse e-mail de leur FAI. Les liens vers e-mail, peut être difficile pour les utilisateurs qui oublient de mettre à jour leur e-mail à tous les sites web qu'ils ont signé pour avant de changer de Fai.
À la place:
Vous devriez envisager de permettre à un utilisateur de fournir de multiples adresses, ainsi sélectionné par l'utilisateur id et ensuite permettre à l'utilisateur de décider ce qu'ils veulent ils veulent faire. Peut-être aussi envisager de permettre à l'utilisateur de fournir un OpenID compte.
Personnellement, je préfère juste en utilisant mon adresse email comme nom d'utilisateur. C'est une chose de moins à se souvenir, et je n'ai jamais à vous soucier de mes préféré le nom étant déjà pris.
Juste mes 2 cents!
Je pense que vous avez raté un PRO:
Les utilisateurs sont susceptibles de se souvenir de leur adresse e-mail; et que les adresses e-mail sont uniques, ils n'ont jamais à vous soucier de leur pseudo préféré être prises.
CONTRE
En tant qu'utilisateur des sites web, je peux vous dire que je déteste inutile de mémoriser les noms d'utilisateur. Je n'utilise pas une unique poignée ou quoi que ce soit, donc je ne me souviens jamais lequel la variation de mon nom que j'ai utilisé n'était pas déjà pris. Je préfère taper mon adresse e-mail.
Aussi, j'aime OpenID.
CON: Pas tout le monde a une adresse e-mail. Considérez si votre base de données est toujours accessible par une application interne. Si vous exécutez un magasin, les gens sera appeler et de passer une commande par téléphone et de refuser de fournir une adresse e-mail. Donc, tout en ayant une adresse e-mail de l'ID utilisateur par défaut est cool, assurez-vous de prévoir des remplaçants pour entrer dans le système. (Bien sûr, cela dépend du contexte.)
Appris ce l'un de l'autre.
Un programme d'installation, vous souhaitez mai à envisager: Avoir à la fois un nom d'utilisateur et un e-mail. Le courrier électronique est utilisé pour la connexion et est toujours maintenu privé, le nom d'utilisateur est utilisé pour identifier l'utilisateur en toute interagir avec le public, comme la publication d'un commentaire. Il finit par devenir un peu plus sécurisé que les deux moitiés de l'utilisateur informations de connexion sont conservées privé, tandis que si vous utilisez un nom d'utilisateur pour les deux de connexion et l'identification du public, la moitié de la connexion qui est déjà connu.
Je suis absolument d'accord avec vous sur le fait d'avoir minimal d'inscription pour la plupart des cas, mais en fonction de ce que vous faites, vous pouvez le balancer contre plus de sécurité pour vos utilisateurs. Quatre champs n'est pas scandaleux pour l'enregistrement, la (nom d'utilisateur, email, mot de passe, confirmez le mot de passe), et si vous vous sentez particulièrement aventureux, vous pouvez le couper à trois en laissant tomber le champ confirmer le mot de passe, ou les deux, par l'envoi d'un mot de passe qu'ils peuvent changer par la suite.
PRO
Les gens détestent avoir à créer un nom unique qui s'adapte à leur id et qui n'a pas déjà été prises pour s'inscrire à un site..Donc c'est pourquoi l'id utilisateur que ADRESSE EMAIL est donc adopté.
ex:TStamper1930, qui, en fait, veut rappeler 1930 à la fin de mon nom que je voulais vraiment
CON: Si un pirate peut essayer de l'inscription aléatoire des adresses de courriel en masse, il ou elle sera en mesure de déterminer lequel de ces adresses sont valides sur la base de laquelle des enregistrements d'échouer. C'est une tactique qui peut être utilisé pour mettre ensemble des listes de connu adresses e-mail valides, qui sont une denrée rare sur le spam sur le marché noir.
Bien que maintenant que j'y pense, c'est un problème qui affecte tout site internet qui demande une adresse e-mail dans le cadre de la procédure d'inscription, indépendamment de si oui ou non il y a un nom d'utilisateur séparé. Mais c'est toujours quelque chose à penser.
CON: Si je change mon adresse e-mail, du coup tous mes noms de compte ne sont pas valides. Mon nom ne change pas, mais mon e-mail n'est souvent. J'ai parfois revisitée d'un site après un certain nombre d'années, et a été coincé... ce qui était mon adresse e-mail il y a deux ans???
En tenir à des adresses email qu'ils sont utilisés partout, en fait la plupart des sites importants, ils sont uniques, de sorte qu'ils économiser de l'utilisateur de la difficulté à trouver un nom qui n'est pas utilisé par d'autres, aussi les utilisateurs de ne pas l'oublier leurs adresses e-mail (dans la plupart des cas au moins :)), qui est à la différence des noms d'utilisateur que sur l'oubli, s'ils ne visitent pas votre site très souvent.
Vous ne devriez pas être inquiet pour eux d'être trop long que tous les principaux navigateurs (IE, FF, etc...) offrent la saisie semi-automatique des formes qui est activé par défaut, donc vous tapez les premières lettres de votre e-mail et vous obtenez une liste déroulante (ie. liste de saisie semi -) où il vous suffit de cliquer pour accéder à l'ensemble de l'e-mail, personnellement, je n'ai presque jamais tapez l'adresse e-mail dans son intégralité, j'ai toujours taper les premières lettres puis sélectionnez l'e-mail de la saisie semi-automatique dans la liste déroulante. En outre, si vous autorisez les utilisateurs à se rappeler (à l'aide d'une case se Souvenir de Moi et des cookies persistants), ce sera une autre raison de ne pas s'en soucier.
Je ne sais pas au sujet de votre application, mais, habituellement, les utilisateurs disposant de plusieurs comptes n'est pas souhaitable dans la plupart des applications.
Un con peut-être que si c'est une adresse e-mail, la connexion peut être deviné par les personnes et les attaques par force brute tentée. Ce qui n'est pas vraiment un gros problème, car sur la plupart des sites aujourd'hui, les connexions sont affichés publiquement.
Le plus grand pro est que les connexions sont faciles à retenir de cette façon.
Une bonne configuration est d'obliger le nom d'utilisateur et e-mail. Permettant à l'utilisateur de se connecter soit avec l'adresse email ou nom d'utilisateur est très conviviale. Un avantage supplémentaire est que l'utilisateur peut modifier son adresse e-mail. Elle permettrait également de multiples comptes pour un seul e-mail.
Pour résoudre vos con élément de l'e-mail étant trop long à taper à chaque fois. J'ai mis en œuvre la StringScan Ruby bibliothèque.
etc..
Alors il suffit de changer la méthode d'identification pour permettre à e-mail ou login pour correspondre à votre mot de passe.
Cela fonctionne exactement comme google ou mobileme. Un utilisateur peut choisir de simplement taper le nom d'utilisateur de messagerie (ie. nom d'utilisateur au lieu de [email protected].)
Si vous ne se soucient pas de forcer les utilisateurs à se connecter à votre application avec Facebook ou quelque autre réseau social (la plupart des gens ne semblent pas s'en soucier), alors vous pouvez simplement utiliser leur réseau social e-mail comme leur "user id' lors de la référence à d'autres tables/documents (MySQL, Mongo, etc).
J'ai remarqué que le bonus de l'utilisation des médias sociaux connexions que l'ensemble de la sécurité a été pris en charge par le réseau social, notamment en ne permettant pas 2 utilisateurs ont le même e-mail ou nom d'utilisateur dans leur base de données, vous faisant ainsi économiser les tracas d'avoir à code pour tout cela. C'est juste ma préférence personnelle.