Pourquoi la plupart des sites nécessitent une activation par e-mail [fermé]

13

De nos jours, la plupart des applications populaires nécessitent une activation de compte par e-mail. Je ne l'ai jamais fait avec des applications que j'ai développées, manque-t-il une fonctionnalité de sécurité cruciale?

Par activation par e-mail, je veux dire que lorsque vous vous inscrivez sur un site, ils vous envoient un e-mail contenant un lien sur lequel vous devez cliquer avant que votre compte ne soit activé.

security email palto
la source
1
Ils veulent s'assurer que vous fournissez votre adresse e-mail réelle, et non fausse.
Andy
Espérons que SQRL changera cette chose très ennuyeuse
sakisk
1
J'ai obtenu plusieurs bonnes réponses à ce sujet. Le problème est que j'ai peut-être demandé la mauvaise façon parce que je pensais que c'était pour des raisons de sécurité. Confirmé Opt In est de s'assurer que nous n'envoyons pas de spam aux personnes qui n'en veulent pas.
palto
Là encore, la confirmation d'adhésion pourrait concerner la sécurité, car sans elle, un utilisateur malveillant pourrait enregistrer un certain nombre d'adresses fausses. Si vous continuez d'envoyer des e-mails à ces adresses, vous risquez de vous retrouver dans une liste de spam.
palto
1
Cette question semble être hors sujet car elle concerne la sécurité de l'information. Cette question contient probablement déjà des questions et des réponses similaires. Duplicata possible: security.stackexchange.com/questions/13983/… Merci.
maple_shaft

Réponses:

25

L'activation confirme que l'e-mail est le vôtre. Il ne s'agit pas tant d'être faux ou inexistant, mais d'être le vôtre et ils en ont besoin pour une méthode d'authentification alternative / plan-b, en premier lieu.

Nikolay Tsenkov
la source
1
C'est la réponse la plus pertinente concernant la sécurité. Et si je m'inscris avec VOTRE email? Cependant, je pense qu'il pourrait y avoir d'autres raisons impliquées, telles que la réinitialisation des mots de passe , l'envoi d'informations importantes et / ou personnelles, la promotion, etc.
Francisco Presencia
Si vous vous inscrivez avec mon e-mail, je reçois la demande de confirmation et cela devrait me rendre suspect. Et bien sûr, je dois être sûr que l'e-mail est correct car je peux, par exemple, réinitialiser le mot de passe.
Andrea Girardi
3
+1 mais "l'e-mail vous appartient" n'est pas tout à fait vrai. Il garantit uniquement que la personne qui s'inscrit a accès au compte de messagerie. Rien de plus.
Marjan Venema
9

La plupart des services Web souhaitent pouvoir contacter les utilisateurs et utiliser le courrier électronique pour cela. En particulier, l'utilisateur oublie son mot de passe, le fait qu'il puisse lire un e-mail à l'adresse que le service a dans son dossier, l'authentifie en tant qu'utilisateur légitime, qui est autorisé à réinitialiser le mot de passe. Le courrier électronique peut également être un moyen de vous informer des mises à jour importantes (aka spam vous).

Pour que le service valide le courrier électronique, il doit s'assurer que l'utilisateur qui crée le compte a accès à ce courrier électronique. Il s'agit à la fois de protéger l'utilisateur contre une faute de frappe dans l'adresse e-mail et de protéger la capacité du site à envoyer du spam.

Vous n'avez pas besoin d'exiger un e-mail pour vous abonner à votre service. Cependant, lorsque les utilisateurs oublient leurs informations d'identification, ils seront mécontents. Les réinitialisations de mot de passe par e-mail sont la norme.

Si l'utilisateur choisit une adresse e-mail jetable, c'est un choix délibéré de sa part de ne pas avoir un contrôle exclusif sur le compte. Certains sites qui souhaitent spammer essaient de rejeter de telles adresses, bien que cela soit bien sûr inutile (les grands sites comme Gmail vous permettent également de créer des adresses jetables, après tout).

Gilles 'SO- arrête d'être méchant'
la source
7

L'acceptation confirmée peut également être effectuée pour se conformer aux lois anti-spam pour une autre raison d'envoyer un lien dans l'e-mail.

JB King
la source
Ouaip. Ce serait si facile pour quelqu'un d'inscrire une autre personne qu'il n'aime pas pour quelques milliers de listes de diffusion ...
jwenting
1

Oui, vous l'êtes. En vérifiant l'adresse e-mail, vous vous assurez que le titulaire du compte possède cette adresse.

Plus tard, si quelqu'un d'autre essaie de s'inscrire avec la même adresse, cela ne sera pas possible car vous avez déjà vérifié que le bon propriétaire possède déjà le compte.

Fondamentalement, cela garantit aux gens qui ils sont ce qu'ils prétendent être. Si vous aviez un site de réseautage social où les gens pouvaient ajouter des contacts par adresse e-mail, cela limiterait ce qu'un utilisateur frauduleux pourrait faire en utilisant l'adresse d'une autre personne.

SilverlightFox
la source
"possède cette adresse" Il garantit uniquement que la personne qui s'inscrit a accès au compte de messagerie. Rien de plus.
Marjan Venema
@MarjanVenema Plus techniquement: accès au flux HTTP par lequel l'e-mail passe ou au stockage où réside l'e-mail, mais pour la plupart des intentions, vous empêchez une autre personne de s'inscrire en utilisant l'adresse d'une autre personne.
SilverlightFox
En effet, ne comptez pas sur celui qui utilise l'adresse e-mail comme étant réellement le propriétaire de cette adresse. Les gens partagent beaucoup trop de choses avec leurs amis et leurs familles. Lorsque les choses tournent mal, les comptes bidon sont créés à l'aide des "informations d'identification" d'anciens amis / partenaires.
Marjan Venema
1

Quelques raisons fréquemment utilisées sont:

  • Assurez-vous que l'adresse e-mail est valide.
  • S'assurer que l'utilisateur possède l'adresse e-mail.
  • Assurez-vous que l'utilisateur VEUT s'abonner.
  • S'assurer que la communication future peut se dérouler correctement.
  • Donner à l'utilisateur une confirmation de son abonnement et un parcours numérique.
Nzall
la source
est-ce seulement votre opinion personnelle ou pouvez-vous la sauvegarder d'une manière ou d'une autre?
moucher
Je pense que mon choix de mots était un peu décalé. Je ne voulais pas donner un classement ou dire "ce sont toujours les raisons les plus fréquemment utilisées", mais plutôt un résumé, indiquant "Ce sont des raisons fréquentes pour exiger des activations, mais pas dans un ordre ou un classement spécifique." J'ai modifié mon message pour clarifier cela.
Nzall
2
"S'assurer que l'utilisateur possède l'adresse e-mail." Il garantit uniquement que la personne qui s'inscrit a accès au compte de messagerie. Rien de plus.
Marjan Venema
1

Je pense que cela dépend des possibilités que vous donnez à votre utilisateur. Peut-il envoyer des messages à d'autres utilisateurs et les spammer avec des publicités? Peut-il publier sur votre site et publier des annonces de viagra partout? Peut-il ou elle télécharger un grand nombre de fichiers et remplir votre précieux espace serveur. Si quelque chose de ce qui précède ou quelque chose d'autre qui pourrait être utilisé pour spammer ou détruire votre serveur existe, vous voulez qu'il soit aussi difficile que possible pour les spammeurs de s'inscrire sur votre site. Et donc l'authentification par e-mail est une autre étape qui rend difficile pour les spammeurs de faire semblant d'être un humain.

Pour ce faire, vous devez utiliser l'authentification par e-mail avec un formulaire qui complique également le remplissage des machines à l'aide d'un captcha ou d'autres techniques et vous devez également bloquer les services de courrier de corbeille.

Christoph
la source