Warum erfordern die meisten Websites eine E-Mail-Aktivierung?

13

Die meisten gängigen Anwendungen erfordern heutzutage eine Kontoaktivierung per E-Mail. Ich habe es noch nie mit Apps gemacht, die ich entwickelt habe. Fehlt mir ein wichtiges Sicherheitsmerkmal?

Mit E-Mail-Aktivierung meine ich, wenn Sie sich auf einer Website registrieren, senden sie Ihnen eine E-Mail, die einen Link enthält, auf den Sie klicken müssen, bevor Ihr Konto aktiviert wird.

security email palto
quelle
1
Sie möchten sicherstellen, dass Sie Ihre tatsächliche E-Mail-Adresse angeben, keine gefälschte.
Andy
Hoffen wir, dass SQRL diese sehr ärgerliche Sache ändern wird
sakisk
1
Ich habe darauf mehrere gute Antworten erhalten. Das Problem ist, dass ich vielleicht falsch gefragt habe, weil ich angenommen habe, dass dies aus Sicherheitsgründen sein muss. Bestätigtes Opt-In stellt sicher, dass keine Spam-Mails an Personen gesendet werden, die dies nicht möchten.
Palto
Wiederum kann es sich bei der bestätigten Anmeldung um eine Sicherheitsmaßnahme handeln, da ein böswilliger Benutzer ohne sie möglicherweise eine Reihe von falschen Adressen registriert. Wenn Sie weiterhin E-Mails an diese Adressen senden, landen Sie möglicherweise in einer Spam-Liste.
Palto
1
Diese Frage scheint nicht zum Thema zu gehören, da es um Informationssicherheit geht. Diese Frage hat sehr wahrscheinlich bereits ähnliche Fragen und Antworten. Mögliches Duplikat: security.stackexchange.com/questions/13983/… Vielen Dank.
maple_shaft

Antworten:

25

Durch die Aktivierung wird bestätigt, dass die E-Mail Ihnen gehört. Es geht nicht so sehr darum, gefälscht oder nicht existent zu sein, sondern darum, dein zu sein, und sie brauchen es in erster Linie für eine alternative / plan-b-Authentifizierungsmethode.

Nikolay Tsenkov
quelle
1
Dies ist die relevanteste Antwort in Bezug auf Sicherheit. Was ist, wenn ich mich mit IHRER E-Mail registriere? Ich denke jedoch, dass es andere Gründe geben könnte, wie das Zurücksetzen von Passwörtern , das Senden wichtiger und / oder persönlicher Informationen, Werbung usw.
Francisco Presencia
Wenn Sie sich mit meiner E-Mail registrieren, erhalte ich die Bestätigungsanfrage und das sollte mich misstrauisch machen. Und natürlich muss ich sicher sein, dass die E-Mail korrekt ist, um beispielsweise das Passwort zurücksetzen zu können.
Andrea Girardi
3
+1 aber "Die E-Mail gehört dir" ist nicht ganz wahr. Es wird nur sichergestellt, dass derjenige, der sich anmeldet, Zugriff auf das E-Mail-Konto hat. Nichts mehr.
Marjan Venema
9

Die meisten Webdienste möchten in der Lage sein, Benutzer zu kontaktieren und dafür E-Mails zu verwenden. Insbesondere vergisst der Benutzer sein Kennwort, und die Tatsache, dass er eine E-Mail an der Adresse lesen kann, die der Dienst in der Datei hat, authentifiziert ihn als den legitimen Benutzer, der das Kennwort zurücksetzen darf. E-Mail kann auch eine Möglichkeit sein, Sie über wichtige Aktualisierungen (auch als Spam bezeichnet) zu informieren.

Damit der Dienst die E-Mail validieren kann, muss er sicherstellen, dass der Benutzer, der das Konto erstellt, Zugriff auf diese E-Mail hat. Dies dient sowohl zum Schutz des Benutzers vor einem Tippfehler in der E-Mail-Adresse als auch zum Schutz der Spam-Fähigkeit der Website.

Sie müssen keine E-Mail-Adresse angeben, um Ihren Service zu abonnieren. Wenn Benutzer jedoch ihre Anmeldeinformationen vergessen, sind sie unglücklich. Das Zurücksetzen von E-Mail-Passwörtern ist die Norm.

Wenn der Benutzer eine verfügbare E-Mail-Adresse wählt, ist es eine bewusste Entscheidung des Benutzers, keine ausschließliche Kontrolle über das Konto zu haben. Einige Websites, die Spam versenden möchten, versuchen, solche Adressen abzulehnen, obwohl dies natürlich sinnlos ist (große Websites wie Google Mail ermöglichen es Ihnen schließlich auch, verfügbare Adressen zu erstellen).

Gilles 'SO - hör auf böse zu sein'
quelle
7

Das bestätigte Opt-In kann auch durchgeführt werden, um die Antispamgesetze einzuhalten, und zwar aus einem anderen Grund, um einen Link in der E-Mail zu senden.

JB King
quelle
Jep. Wäre es für jemanden so einfach, eine andere Person zu
registrieren
1

Ja, das bist Du. Durch die Bestätigung der E-Mail-Adresse stellen Sie sicher, dass der Kontoinhaber diese Adresse besitzt.

Später, wenn jemand anderes versucht, sich mit derselben Adresse anzumelden, ist dies nicht möglich, da Sie bereits überprüft haben, dass der richtige Eigentümer bereits über das Konto verfügt.

Grundsätzlich sorgt es dafür, dass Menschen wissen, wer sie sind. Wenn Sie eine Social-Networking-Site hatten, auf der Personen Kontakte nach E-Mail-Adresse hinzufügen konnten, wird dies die Möglichkeiten eines betrügerischen Benutzers einschränken, indem die Adresse einer anderen Person verwendet wird.

SilverlightFox
quelle
"besitzt diese Adresse" Es wird nur sichergestellt, dass der sich anmeldende Benutzer Zugriff auf das E-Mail-Konto hat. Nichts mehr.
Marjan Venema
@MarjanVenema Technischer: Zugriff auf den HTTP-Stream, den die E-Mail durchläuft, oder auf den Speicher, in dem sich die E-Mail befindet. In den meisten Fällen verhindern Sie jedoch, dass sich eine andere Person mit der Adresse einer anderen Person anmeldet.
SilverlightFox
Verlassen Sie sich in der Tat nicht darauf, dass die E-Mail-Adresse tatsächlich der Eigentümer dieser Adresse ist. Die Menschen teilen viel zu viele Dinge mit ihren Freunden und Familien. Wenn es schlecht läuft, werden gefälschte Konten unter Verwendung der "Anmeldeinformationen" ehemaliger Freunde / Partner erstellt.
Marjan Venema
1

Einige häufig verwendete Gründe sind:

  • Stellen Sie sicher, dass die E-Mail-Adresse gültig ist.
  • Stellen Sie sicher, dass der Benutzer die E-Mail-Adresse besitzt.
  • Stellen Sie sicher, dass der Benutzer abonnieren möchte.
  • Stellen Sie sicher, dass die zukünftige Kommunikation ordnungsgemäß verarbeitet werden kann.
  • Geben Sie dem Benutzer eine Bestätigung, dass er abonniert hat, und einen digitalen Trail.
Nzall
quelle
Ist das nur deine persönliche Meinung oder kannst du es irgendwie bestätigen?
gnat
Ich denke, meine Wortwahl war ein bisschen abwegig. Ich wollte keine Rangfolge oder Angabe machen, "dies sind immer die am häufigsten verwendeten Gründe", sondern eher eine Zusammenfassung, aus der hervorgeht, "dies sind häufige Gründe für die Anforderung von Aktivierungen, jedoch nicht in einer bestimmten Reihenfolge oder Rangfolge." Ich habe meinen Beitrag bearbeitet, um dies zu klären.
Nzall
2
Msgstr "Sicherstellen, dass der Benutzer die E - Mail - Adresse besitzt." Es wird nur sichergestellt, dass derjenige, der sich anmeldet, Zugriff auf das E-Mail-Konto hat. Nichts mehr.
Marjan Venema
1

Ich denke, es hängt von den Möglichkeiten ab, die Sie Ihrem Benutzer geben. Kann er oder sie anderen Benutzern Nachrichten senden und sie mit Werbung spammen? Kann er oder sie auf Ihrer Website veröffentlichen und Viagra-Anzeigen überall veröffentlichen? Kann er oder sie viele Dateien hochladen und Ihren kostbaren Serverraum füllen? Wenn eine der oben genannten oder eine andere Möglichkeit besteht, Ihren Server zu spammen oder in den Papierkorb zu werfen, möchten Sie, dass sich ein Spammer so schwer wie möglich bei Ihrer Site anmeldet. Die E-Mail-Authentifizierung ist ein weiterer Schritt, der es Spammern erschwert, sich als Menschen auszugeben.

Um dies zu erreichen, sollten Sie die E-Mail-Authentifizierung mit einem Formular verwenden, das es auch für Computer schwierig macht, mit einem Captcha oder anderen Techniken ausgefüllt zu werden, und Sie sollten auch den Papierkorb-E-Mail-Dienst blockieren.

Christoph
quelle