it-swarm.asia

Ketika email masuk pengguna telah diubah, apa yang harus terjadi?

Saya membuat antarmuka online untuk suatu sistem. Sistem ini biasanya digunakan oleh bisnis yang menyediakan layanan kepada pelanggan. Pelanggan akan memiliki opsi untuk menggunakan antarmuka online ini selain berurusan langsung dengan orang sungguhan di bisnis.

Sekarang, pengguna login ke frontend online menggunakan alamat email sebagai nama pengguna. Alamat email ini dikaitkan dengan akun mereka oleh bisnis. Kapan saja, pengguna dapat mengubah alamat email ini melalui komunikasi langsung dengan bisnis. Jika pengguna telah mengubah alamat email mereka dengan cara itu, apa yang terjadi?

Jelas, alamat email baru perlu mencatat pengguna dengan mulus. Apa yang terjadi dengan alamat email lama ketika pengguna mencoba masuk?

  • Apakah kita memunculkan kesalahan "email tidak valid"?
  • Apakah kita Meminta pengguna untuk masuk menggunakan alamat email baru?
  • Apakah kami mengizinkan pengguna untuk masuk menggunakan alamat lama, tetapi menampilkan opsi yang menonjol di frontend meminta mereka untuk beralih?

Sebagai programmer yang malas, saya condong ke pilihan kedua. Mungkin opsi ketiga lebih bermanfaat? Sepertinya itu akan menambah lapisan kerumitan lain, baik dalam program dan dalam cara pengguna harus memikirkan akun mereka.

12
James

Anda harus memunculkan kesalahan "email tidak valid". Ini yang paling transparan, mengkomunikasikan apa yang telah terjadi, dan pengguna dapat segera menyesuaikan perilaku berdasarkan umpan balik itu, dengan kemungkinan rendah untuk melihat pesan yang sama lagi. Biarkan saya membahas mengapa opsi lain bukan ide yang baik:

  • Meminta untuk masuk dengan alamat baru adalah anti-pola keamanan. Jika saya tahu alamat email lama Anda, sekarang saya bisa mengetahui apa alamat email baru Anda diberikan bahwa saya tahu Anda menggunakan layanan X. Ini bisa menjadi masalah privasi, terutama misalnya situs kencan atau jejaring sosial. (Edit: ini hanya masalah jika Anda benar-benar menampilkan alamat email baru; Saya salah membaca peluru Anda dan berpikir itulah yang Anda katakan. Intinya masih ada :)

  • Anda tidak tahu mengapa pengguna mengubah alamat emailnya, jadi berisiko untuk terus mengunci alamat email itu ke akun ini. Untuk semua yang Anda tahu mereka membatalkan akun mereka dengan Host email sebelumnya dan alamat itu sekarang digunakan oleh orang lain yang mungkin juga ingin mengakses layanan Anda (tidak mungkin, tetapi secara teori!).

Jika Anda menerapkan peringatan "email tidak valid", Anda dapat menjadikannya sedikit lebih ramah dengan menggunakan teman kami yang hemat dan terpercaya, Copywriting:

Alamat email atau kata sandi yang Anda masukkan tidak valid. [...] Mungkin Anda mengubah alamat email yang Anda gunakan untuk masuk?

Anda juga dapat menawarkan kemampuan untuk meminta alamat email mana yang sedang digunakan untuk login. Untuk melakukan ini tanpa berakhir dengan anti-pola yang disebutkan di atas, izinkan pengguna untuk memasukkan yang lama yang lama alamat email dan kemudian tampilkan pesan yang mengatakan "kami mengirim email ke alamat yang kami miliki di file yang Anda gunakan untuk masuk". Kemudian pengguna akan dapat mengingat alamat email mana yang mereka gunakan berdasarkan asosiasi dari email yang Anda kirim. Tentu saja, Anda perlu memeriksa ulang bahwa pengguna tidak keberatan bahwa Anda menyimpan log dari alamat email sebelumnya - mereka mungkin tidak menghargainya.

Semua hal di atas sedikit melampaui apa yang akan diterapkan oleh sebagian besar situs web yang dihadapi konsumen dalam hal keramahan pengguna. Biasanya, mengubah alamat email Anda adalah perubahan permanen dan tidak ada cara untuk memperbaiki hal-hal jika Anda lupa bahwa Anda membuat perubahan itu. Pertimbangkan akun Google Anda, misalnya: ubah alamat email di sana, dan lupakan, dan Anda mungkin memiliki masalah yang cukup besar di luar memiliki nomor telepon yang terdaftar sehingga mereka dapat mengirimi Anda sesuatu.

Edit: Jelas solusi terbaik adalah kombinasi dari poin pertama dan kedua Anda, yang saya abaikan untuk membaca dengan seksama sebelum menulis jawaban ini. Namun, sebagian besar jawabannya masih masuk akal.

12
Rahul

Pada catatan keamanan vs kegunaan - alasan mengapa beberapa sistem tidak mengatakan apakah itu email atau kata sandi yang dimasukkan adalah karena dengan mengatakan 'email tidak valid' Anda sebaliknya memberi sinyal pada peretas sinyal bahwa email yang diberikan tidak berfungsi ketika hadir .

Jadi saya tidak akan mengatakan 'email tidak valid' - Saya akan mengatakan 'email atau kata sandi tidak dikenal'.

17
Julian H

Jika alamat email digunakan sebagai ID Unik, maka saya berharap sistem akan melupakan email asli dan sekarang menghubungkan saya dengan yang baru. Jadi saya mengharapkan kesalahan. Mungkin pesan itu dapat menyarankan bahwa mereka mungkin telah mengubah alamat email mereka.

Apa pun yang Anda lakukan, suruh surel pergi ke alamat surel asli ketika mengubah ke alamat surel baru di sepanjang baris "Alamat surel untuk akun ini telah diubah menjadi [surel baru]. Jika ini salah, silakan [tambahkan tautan untuk membantah perubahan ini]. "

Apple tidak melakukan itu. Yang menyebalkan ketika seseorang meretas akun iTunes Anda dan mengubah alamat email.

5
DA01

Pertanyaan ini agak menyesatkan karena menggunakan kata "alamat email" padahal sebenarnya itu berlaku untuk string unik apa pun yang mengidentifikasi pengguna. Ada kekhawatiran terpisah terkait pengiriman informasi rahasia ke alamat email yang berpotensi salah; Saya tidak akan membahasnya.

Mengenai masalah "string identifikasi pengguna telah berubah", situs web tempat saya bekerja telah menerapkan solusi yang berfungsi sebagai berikut:

  • Ketika ID pengguna berubah, ID lama masih dicadangkan untuk jangka waktu tertentu.
  • Ketika seorang pengguna masuk dengan ID baru mereka, ID lama dibebaskan untuk digunakan kembali oleh pengguna lain nanti.
  • Jika pengguna masuk dengan ID lama, sistem akan menunjukkan kepada mereka halaman yang menunjukkan bahwa ID mereka telah berubah dan apa ID baru itu. Ini dianggap aman karena ID hanya nama dan kata sandi diperlukan. Agaknya hanya pengguna yang tahu kata sandinya.
  • Pada halaman "nama pengguna berubah" ada tautan yang membawa pengguna ke situs. Mengklik tautan itu akan membebaskan ID lama. Upaya di masa mendatang untuk masuk dengan ID lama gagal.

Jika pengguna mengubah ID mereka karena masalah keamanan, maka yang harus mereka lakukan adalah mengganti kata sandi. Dalam hal ini ID adalah nama pengguna yang dikenal publik, jadi mengubahnya untuk tujuan keamanan tidak ada manfaatnya.

Jika Anda perlu memastikan bahwa email dikirim ke alamat yang tepat, Anda perlu menerapkan beberapa jenis sistem di mana penerima email dapat mengotentikasi alamat email dan membuktikan penerimaan surat, mungkin termasuk beberapa di luar informasi band seperti pesan SMS atau sesuatu. Itu masalah terpisah.