Biểu mẫu đăng ký người dùng có cho biết địa chỉ email đã được sử dụng chưa?

Question

Có vẻ như khá điển hình để giới hạn tài khoản người dùng thành địa chỉ email duy nhất. Vì vậy, vào mẫu đăng ký người dùng của tôi, tôi đang làm xác nhận email và trả về một thông báo như

Một tài khoản đã được đăng ký cho foo@bar.com

Sau đó, nó xảy ra với tôi rằng kẻ tấn công có thể sử dụng biểu mẫu này để xác định thông tin về người dùng của tôi. Có cách nào khác để cung cấp thông báo xác thực cho người dùng của tôi mà không ảnh hưởng đến bảo mật không? Dường như không có cách nào xung quanh nó.

Answer 1

Đối với hầu hết các loại trang web, tôi hy vọng rằng việc ẩn thông tin này một cách rõ ràng sẽ là một trải nghiệm người dùng kém cân bằng. Giải pháp tốt hơn là sử dụng CAPTCHA để giúp ngăn chặn việc quay số địa chỉ email của chiến tranh.

Trường hợp ngoại lệ là trong trường hợp kẻ tấn công đang tìm kiếm thông tin về một người dùng cụ thể (thay vì chỉ cố tìm "một số tài khoản"). Ví dụ: nếu trang web của bạn phục vụ cho những người có sở thích giấu tên mạnh mẽ và có những kẻ tấn công có quan tâm mạnh mẽ trong việc tìm hiểu xem một người dùng cụ thể có đang sử dụng trang web hay không thì cách tiếp cận sẽ khác. Cách tiếp cận của tôi có thể sẽ gửi một email đến địa chỉ cho biết lỗi "đã được đăng ký". Sự khó chịu về trải nghiệm người dùng sẽ bị ảnh hưởng bởi sự quan tâm ẩn danh của người dùng.

Answer 2

Tôi không nghĩ rằng thực sự có thể tạo thông báo lỗi mà không cho biết địa chỉ email đã được sử dụng, vì đó là điểm của địa chỉ email.

Answer 3

Tôi có thể nghĩ một cách: bạn có thể yêu cầu một địa chỉ email và sau đó gửi liên kết cho biểu mẫu đăng ký một lần đến địa chỉ email đó. Bạn có thể cần một hình ảnh xác thực trong đó để chặn spam. Nếu email đã có trong hệ thống, nó có thể gửi một thông báo nói rằng họ đã có một tài khoản.

Tôi nghĩ đây là điều không cần thiết, trừ khi trang web của bạn đặc biệt bí mật, như nhóm hỗ trợ cho nạn nhân lạm dụng.

Answer 4

Chỉ cần nói với họ rằng họ không thể sử dụng địa chỉ email mà họ đã cung cấp? Bạn không cần đưa ra bất kỳ lý do nào nhiều hơn thế? Nếu họ biết đó không phải là email của họ thì họ vẫn có thể đoán đó là địa chỉ hiện tại nhưng bạn chưa xác nhận điều đó.

Hoặc

Làm thế nào về nói với họ rằng bạn đã gửi một email đến địa chỉ đó và họ cần phải xác nhận - thậm chí nếu bạn chưa có.

Answer 5

Đây là những lựa chọn tôi thấy:

1) Hiển thị một thông báo lỗi không rõ ràng như "Địa chỉ email không hợp lệ"
2) Chấp nhận việc đăng ký và thông báo cho người dùng về tài khoản trước đó của mình qua email (I sẽ gợi ý rằng)

Trong mọi trường hợp, bạn có thể cải thiện bảo mật thông qua mã xác thực và yêu cầu điều chỉnh bởi cùng một ứng dụng khách. Nếu bạn quan tâm nhiều đến quyền riêng tư của người dùng, việc buộc đăng ký email duy nhất có thể không phù hợp với trang web của bạn.