¿Por qué la mayoría de los sitios requieren activación por correo electrónico [cerrado]

13

Las aplicaciones más populares hoy en día requieren activación de cuenta por correo electrónico. Nunca lo he hecho con aplicaciones que he desarrollado, ¿me estoy perdiendo alguna característica de seguridad crucial?

Por activación por correo electrónico quiero decir que cuando te registras en un sitio, te envían un correo electrónico que contiene un enlace en el que debes hacer clic antes de que se active tu cuenta.

palto
fuente
1
Quieren asegurarse de que proporcione su dirección de correo electrónico real, no falsa.
Andy
Esperemos que SQRL cambie esta cosa muy molesta
sakisk
1
He recibido múltiples buenas respuestas sobre esto. El problema es que tal vez pregunté por el camino equivocado porque supuse que debía ser por seguridad. Lo confirmado para participar es asegurarse de que no enviamos spam a personas que no lo desean.
palto
Por otra parte, la confirmación confirmada de la suscripción podría ser sobre seguridad porque sin ella un usuario malintencionado podría registrar una cantidad de direcciones falsas. Si sigue enviando correos electrónicos a esas direcciones, podría terminar en una lista de spam.
palto
1
Esta pregunta parece estar fuera de tema porque se trata de seguridad de la información. Es muy probable que esta pregunta ya tenga preguntas y respuestas similares allí. Posible duplicado: security.stackexchange.com/questions/13983/… Gracias.
maple_shaft

Respuestas:

25

La activación confirma que el correo electrónico es suyo. No se trata tanto de ser falso o inexistente, sino de ser tuyo y lo necesitan para una forma alternativa / plan-b de autenticación, en primer lugar.

Nikolay Tsenkov
fuente
1
Esta es la respuesta más relevante con respecto a la seguridad. ¿Qué pasa si me registro con SU correo electrónico? Sin embargo, creo que podría haber otras razones involucradas, como restablecer contraseñas , enviar información importante y / o personal, promoción, etc.
Francisco Presencia
Si te registras con mi correo electrónico, recibo la solicitud de confirmación y eso debería hacerme sospechar. Y, por supuesto, necesito asegurarme de que el correo electrónico sea correcto debido a que, por ejemplo, puedo restablecer la contraseña.
Andrea Girardi
3
+1 pero "el correo electrónico es tuyo" no es del todo cierto. Solo asegura que la persona que se registre tenga acceso a la cuenta de correo electrónico. Nada mas.
Marjan Venema
9

La mayoría de los servicios web quieren poder contactar a los usuarios y utilizar el correo electrónico para eso. En particular, el usuario olvida su contraseña, el hecho de que pueda leer un correo electrónico en la dirección que el servicio tiene en el archivo los autentica como el usuario legítimo, a quien se le permite restablecer la contraseña. El correo electrónico también puede ser una forma de informarle sobre actualizaciones importantes (también conocido como spam).

Para que el servicio valide el correo electrónico, debe asegurarse de que el usuario que está creando la cuenta tenga acceso a ese correo electrónico. Esto es tanto para proteger al usuario contra un error tipográfico en la dirección de correo electrónico como para proteger la capacidad del sitio para enviar correo no deseado.

No tiene que solicitar un correo electrónico para suscribirse a su servicio. Sin embargo, cuando los usuarios olvidan sus credenciales, no estarán contentos. Los restablecimientos de contraseña de correo electrónico son la norma.

Si el usuario elige una dirección de correo electrónico desechable, es una elección deliberada de su parte no tener control exclusivo sobre la cuenta. Algunos sitios que desean enviar correos no deseados intentan rechazar tales direcciones, aunque por supuesto es inútil (los sitios grandes como Gmail también le permiten crear direcciones desechables, después de todo).

Gilles 'SO- deja de ser malvado'
fuente
7

La aceptación confirmada también se puede hacer para cumplir con las leyes contra correo no deseado por otro motivo para enviar un enlace en el correo electrónico.

JB King
fuente
Sip. Sería tan fácil para alguien inscribir a otra persona a la que le disgustan por unos pocos miles de listas de correo ...
comenzando el
1

Sí es usted. Al verificar la dirección de correo electrónico, se asegura de que el titular de la cuenta sea el propietario de esa dirección.

Más adelante, si alguien más intenta registrarse con la misma dirección, esto no será posible, ya que ya ha verificado que el propietario correcto ya tiene la cuenta.

Básicamente garantiza a las personas quienes son quienes dicen ser. Si tuviera un sitio de red social donde las personas pudieran agregar contactos por dirección de correo electrónico, esto limitará lo que un usuario fraudulento podría hacer al usar la dirección de otra persona.

SilverlightFox
fuente
"posee esa dirección" Solo asegura que la persona que se registra tenga acceso a la cuenta de correo electrónico. Nada mas.
Marjan Venema
@MarjanVenema Más técnicamente: acceso a la secuencia HTTP a través de la cual pasa el correo electrónico o al almacenamiento donde reside el correo electrónico, pero para la mayoría de los intentos y propósitos, está deteniendo que alguien más se registre usando la dirección de otro.
SilverlightFox
De hecho, no cuente con que el que usa la dirección de correo electrónico sea el propietario de esa dirección. La gente comparte demasiadas cosas con sus amigos y familiares. Cuando las cosas se ponen feas, se crean cuentas falsas utilizando las "credenciales" de antiguos amigos / socios.
Marjan Venema
1

Algunas razones de uso frecuente son:

  • Asegurarse de que la dirección de correo electrónico sea válida.
  • Asegurarse de que el usuario posee la dirección de correo electrónico.
  • Asegurarse de que el usuario QUIERE suscribirse.
  • Asegurarse de que la comunicación futura pueda procesarse correctamente.
  • Dando al usuario una confirmación de que se suscribió y un rastro digital.
Nzall
fuente
¿Es esta solo su opinión personal o puede respaldarla de alguna manera?
mosquito
Creo que mi elección de palabras estaba un poco fuera de lugar. No quise dar una clasificación o un estado "estas son siempre las razones más utilizadas", sino más bien como un resumen, que indica "Estas son razones frecuentes para requerir activaciones, pero no en un orden o clasificación específicos". He editado mi publicación para aclarar esto.
Nzall
2
"Asegurarse de que el usuario posee la dirección de correo electrónico". Solo asegura que la persona que se registre tenga acceso a la cuenta de correo electrónico. Nada mas.
Marjan Venema
1

Creo que depende de las posibilidades que le des a tu usuario. ¿Puede él o ella enviar mensajes a otros usuarios y enviarles spam con anuncios? ¿Puede él o ella publicar en su sitio y publicar anuncios de viagra en todas partes? ¿Puede él o ella cargar muchos archivos y llenar su valioso espacio en el servidor? Si existe algo de lo anterior o alguna otra cosa que pueda usarse para enviar spam o destruir su servidor, desea que sea lo más difícil posible para que los spammers se registren en su sitio. Y, por lo tanto, la autenticación por correo electrónico es un paso más que dificulta que los spammers finjan ser humanos.

Para lograr esto, debe usar la autenticación de correo electrónico con un formulario que también dificulta que las máquinas se llenen con un captcha u otras técnicas y también debe bloquear los servicios de correo basura.

Christoph
fuente