Lorsque vous utilisez un e-mail comme identifiant, quelles précautions dois-je prendre pour m'inscrire?
Lorsque votre formulaire d'inscription utilise un identifiant d'utilisateur identique à celui de son adresse électronique, je suis un peu inquiet à l'idée que les spammeurs utilisent le "Nom d'utilisateur est utilisé" pour valider l'existence d'un courrier électronique, ou s'il existe d'autres types de courrier électronique. préoccupations que je dois connaître pour des raisons de validation (par exemple, la conversion de CaMeLcAsE en minuscule semble être le statu quo malgré les spécifications RFC).
Cette question ne concerne pas OpenID.
Ils peuvent seulement savoir s'il s'agit d'une adresse électronique valide si cette personne s'est inscrite sur votre site. Tout dépend donc de la popularité de votre site.
Je ne pense pas que le convertir en camelcase changera quoi que ce soit car ils peuvent facilement se convertir en minuscules ou en majuscules si nécessaire.
Avez-vous pensé à mettre un captcha sur le site? Google ReCaptcha est toujours un bon.
Mettre à jour
Vous pouvez mettre un "flipper" autour du code captcha (et du code qui le valide).
Vous devez vous assurer que l'adresse électronique n'est pas seulement réelle mais sous le contrôle du déclarant. Envoyer un email à cette adresse avec un lien d'activation à l'intérieur. Faire de ce lien une obligation pour pouvoir activer leur compte. De cette façon, vous savez que le courrier électronique est à la fois réel et sous le contrôle de l'utilisateur.
Vous voudrez peut-être envisager de vérifier les enregistrements DNS du nom de domaine de l'adresse électronique pour vous assurer que les enregistrements MX sont configurés pour ce domaine. Cela aide à éliminer les faux comptes de courrier électronique comme [email protected]. N'oubliez pas qu'il est possible de configurer vos enregistrements de messagerie de telle sorte que cette vérification échoue pour certaines adresses électroniques légitimes. Je n'ai jamais eu ce problème mais c'est quelque chose à garder à l'esprit.
Ce n'est pas un problème si vous renvoyez le même message pour les deux cas suivants:
Identifiant/mot de passe invalideLogin valide/Pass invalide
Il est généralement mauvais génial de dire à un utilisateur que son identifiant est valide mais que sa passe est invalide: cela permet à un attaquant de trouver des identifiants de connexion valides.
Désolé, mon erreur - s'il ne s'agit que d'un problème d'enregistrement, alors pourquoi ne pas appliquer le même principe (ne partager aucune information concernant l'existence d'un compte) et laisser les utilisateurs ré-enregistrer le compte avec l'adresse e-mail fournie (il y a des chances qu'ils aient oublié votre mot de passe, au lieu d’envoyer le nouvel e-mail d’enregistrement, envoyez simplement un e-mail avec un lien pour réinitialiser le mot de passe du compte).