email - ventajas - ¿Cuáles son los pros y los contras de usar un correo electrónico como nombre de usuario?

CON: Es una capa menos aislante entre el usuario y los spammers. Si, de alguna manera, alguien obtuviera una lista completa de nombres de usuario, ellos podrían enviar correo no deseado a todos sus usuarios. Pero si el sitio utiliza nombres de usuario, con correos electrónicos como un campo secundario, esto no es una preocupación.

A menos que obtengan todos los datos del usuario, por supuesto, pero ese es un problema mucho más grande de todos modos.

Con: cuando se requiere que un nombre de usuario se comparta entre aplicaciones como el sitio web y el correo electrónico, puede generar problemas de seguridad. Por ejemplo, quien tenga acceso a los nombres de usuario en el sitio web también tendrá acceso a las direcciones de correo electrónico si el correo electrónico se usa para el nombre de usuario. Usualmente esto no es un problema, pero podría serlo. En general, es una buena política mantener separados los nombres de usuario y las contraseñas entre las aplicaciones a menos que haya un procedimiento de inicio de sesión común, o a menos que la seguridad no sea importante.

Creo que los contras superan a los profesionales en lo que a seguridad se refiere. Muchas empresas reciclan direcciones de correo electrónico, por lo tanto, si un usuario ya no usa una dirección de correo electrónico (borró su cuenta de correo electrónico), PODRÍA reciclarse para que otra persona pueda usarla.

En ese caso, cualquier otra persona puede recibir correspondencia periódica de su organización. Esto le permite al nuevo usuario saber que el usuario anterior de la cuenta solía tener un inicio de sesión con su organización. Si usa restablecimientos sencillos de contraseñas por correo electrónico, sin controles adicionales, como preguntas de seguridad, todo lo que tienen que hacer es recuperar la contraseña con la dirección de correo electrónico que ahora poseen y tienen acceso a la cuenta de esa persona.

Espero que no estés programando para un banco. USBank.com usa un nombre de usuario y no un correo electrónico. También tengo una cuenta en una cooperativa de ahorro y crédito y ellos tampoco usan el correo electrónico, sino que usan números de cuenta, que nunca reciclan.

Si la seguridad es la prioridad, nunca use el correo electrónico.

Cuando usa direcciones de correo electrónico, es más fácil para un miembro cambiar su nombre de usuario, por ejemplo, cuando pwng0d69 quiere ser conocido como Jon Skeet. Sin embargo, para cada sitio que solicita mi dirección de correo electrónico, personalmente me estremezco ante otra fuente de posible correo no deseado.

Use Open ID :)

El correo electrónico es un buen nombre de usuario siempre que proporcione un medio para cambiar la dirección de correo electrónico. LinkedIn proporciona esto al crear una cuenta con un correo electrónico como nombre de usuario. También le permiten (una vez que haya iniciado sesión) cambiar la dirección de correo electrónico principal, que luego cambia su nombre de usuario para que sea esa dirección de correo electrónico.

Mientras haga algo como esto, entonces debería estar todo listo.

Email (pro) - disminuye el spamming de creación de cuentas porque puede confirmar su cuenta enviándoles un correo electrónico.

He hecho esto para aplicaciones b2b y es un verdadero dolor cuando un usuario deja una compañía cliente y alguien más está usando la antigua dirección de correo desactivada como inicio de sesión y deliberadamente no la cambia para evitar que nos envíe un correo electrónico.

Terminamos con un correo electrónico de restablecimiento de contraseña que rebota y llamadas de soporte para arreglar cosas.

OpenID y OAuth ..... Simplemente parece mejor. Incluso menos usuarios se las arreglan para ellos y hace que la migración en un lugar sea más fácil con un cambio.

Sí, tienes que tener cuidado. Insisto en que la dirección de correo electrónico de respaldo (un campo de perfil adicional) es diferente a la dirección de correo electrónico que están usando para el usuario. Muchos sistemas también tienen algunos otros campos que luego pueden usar para autenticarse si las cosas se ponen realmente peludas. En este punto, sin embargo, con frecuencia requeriría una llamada de soporte técnico.

Dependiendo del tipo de sistema, usar el correo electrónico puede ser una vulnerabilidad de seguridad. Sé su dirección de correo electrónico, no sé lo que podría poner en un aviso de nombre de usuario. Si ser capaz de adivinar fácilmente un nombre de usuario es un problema, entonces no usaría la dirección de correo electrónico.

Otra cosa que debes recordar es que si otros usuarios también pueden ver el "nombre de usuario", no deberías usar las direcciones de correo debido a problemas de privacidad.

Otra nota si permite que las cuentas sean públicas es que no requerir un nombre de usuario significa que debe permitir un "Nombre para mostrar" (ciertamente no mostraría una dirección de correo electrónico), pero si sus usuarios desean usar su nombres reales existe la posibilidad de nombres duplicados que podrían causar confusión (pensemos en dos comentaristas SO sin imágenes y con el mismo nombre, se supone que es la misma persona, a menos que haga clic en un perfil completo). En ese caso, tendrías que forzar un Nombre para mostrar único (que podría evitar que alguien use un nombre real) o simplemente aceptar que puedes tener dos Bob Johnson dando vueltas confundiendo a la gente.

Otro problema que puede surgir al usar el correo electrónico como nombre de usuario es el ataque de "usuario que cosecha". Por ejemplo, si tiene una página de "cambio de correo electrónico" o al crear un nuevo usuario, si el nuevo usuario inserta un correo electrónico que ya existe, la aplicación deberá enviar un error. En consecuencia, un atacante puede descubrir todos los usuarios en la aplicación ejecutando un script simple (en caso de que el usuario no exista, se agregará)

PRO: Parece que algunos servicios están considerando convertir el correo electrónico en el estándar para identificar a un usuario específico en la red:

por ejemplo, http://www.techcrunch.com/2009/08/14/google-points-at-webfinger-your-gmail-address-could-soon-be-your-id/

CON: Esto aún no ha sucedido, y hay muchas otras opciones, como OpenAuth y OpenID, que están disponibles ahora y tienen algo de apoyo (también tiene inicio de sesión usando la difusión de Facebook).

Simplemente adapte su elección de identidad a lo que sea el público objetivo de su aplicación.

Usamos el software ''Product Lifecycle Management'' de Arena Solutions antes de que un cambio en la propiedad de la compañía exigiera un cambio. Era uno de esos tratos donde todos los datos confidenciales de la empresa están alojados en algún lugar de la costa y se puede acceder por el navegador desde cualquier lugar.

Arena PLM fue promocionado como altamente seguro, pero el comportamiento (predeterminado) era requerir una dirección de correo electrónico como nombre de usuario. Permitió contraseñas seguras con una fecha de caducidad, pero cuando caducó mi contraseña me dijeron que podía elegir otra, ¡o simplemente seguir usando la anterior!

Creo que las afirmaciones de seguridad se basaban en el uso de SSH para las transferencias de datos, pero me pareció que una persona determinada podía iniciar sesión porque

• Los nombres de usuario eran direcciones de correo electrónico de la empresa disponibles públicamente, y
• Había suficiente tiempo para adivinar una contraseña porque un usuario perezoso no elegiría una nueva.

Significa, por supuesto, que se debe aplicar el uso y la renovación de contraseñas seguras.