Комментарии 30
Мне кажется наиболее разумным третий вариант. Распознавание картинок можно включать только после определённого количества попыток ввода e-mail, например, после каждой второй или третьей. Это не помещает обычным пользователям, и защитит от массовых регистраций.
А насчёт самой темы: это может, скорее, ударить по репутации. Например, известный человек зарегистрирован на каком-либо компрометирующем ресурсе. И эту информацию впоследствии можно использовать во вред.
А насчёт самой темы: это может, скорее, ударить по репутации. Например, известный человек зарегистрирован на каком-либо компрометирующем ресурсе. И эту информацию впоследствии можно использовать во вред.
>защитит от массовых регистраций
Речь вообще то о восстановлении.
>А насчёт самой темы: это может, скорее, ударить по репутации. Например, известный человек зарегистрирован на каком-либо компрометирующем ресурсе. И эту информацию впоследствии можно использовать во вред.
Что мешает известному человеку регистрироваться под левым мылом? :-)
Речь вообще то о восстановлении.
>А насчёт самой темы: это может, скорее, ударить по репутации. Например, известный человек зарегистрирован на каком-либо компрометирующем ресурсе. И эту информацию впоследствии можно использовать во вред.
Что мешает известному человеку регистрироваться под левым мылом? :-)
Аля google?
Вполне. Уже ведь некоторые кадровые службы вовсю используют информацию о том, где человек «наследил» в интернете. Вполне возможно, что и сам факт регистрации может быть воспринят негативно. Это как знаменитая фотожаба: Билл Гейтс, сидящий за компьютером с Линуксом.
Комментарием я имел ввиду что «Распознавание картинок можно включать только после определённого количества попыток ввода e-mail» есть в гмаийле.
Согласен по поводу вашего комментария, что могут проверить где человек «наследил», но в нынешнее время очень сложно не наследить, а дальше будет еще сложнее.
И вот еще, что, а если я зарегистрировался 3 года назад ради интереса, но последнии два года там не бываю, так что вероятность того, что человек регулярно бывает на том ресурсе не высокая.
Согласен по поводу вашего комментария, что могут проверить где человек «наследил», но в нынешнее время очень сложно не наследить, а дальше будет еще сложнее.
И вот еще, что, а если я зарегистрировался 3 года назад ради интереса, но последнии два года там не бываю, так что вероятность того, что человек регулярно бывает на том ресурсе не высокая.
> И вот еще, что, а если я зарегистрировался 3 года назад ради интереса, но последнии два года там не бываю, так что вероятность того, что человек регулярно бывает на том ресурсе не высокая.
Насколько я понимаю, в определённых случаях даже такая информация может быть опасна. Слышал историю о том, как в достаточно обычной фирме по закупкам из Китая служба безопасности выясняла о потенциальных сотрудниках чуть ли ни с детского сада.
Насколько я понимаю, в определённых случаях даже такая информация может быть опасна. Слышал историю о том, как в достаточно обычной фирме по закупкам из Китая служба безопасности выясняла о потенциальных сотрудниках чуть ли ни с детского сада.
А как насчёт такого варианта: делать первичным ключом не емейл, а логин?
Момент конечно интересный, но мне кажется тут немножко неправильно рассталвены приоритеты. О массовости я не говорю, но для получения какой-либо информации о пользователе для начала, всё же, нужно выяснить его электронный адрес, а это в нынешний спамерский век гораздо сложнее.
Ведь с пустым e-mail вы ничего не узнаете, ну например известно что somelazyuser@gmail.com зарегистрирован вКонтакте и в однокласниках, что это дает?
Имхо, мелочи всё это.
Ведь с пустым e-mail вы ничего не узнаете, ну например известно что somelazyuser@gmail.com зарегистрирован вКонтакте и в однокласниках, что это дает?
Имхо, мелочи всё это.
Одно дело если к вам придёт письмо с текстом, пришлите СМС на номер ХХХХ чтобы ваш аккаунт в/на… не заблокировали. А другое дело, когда в одном письме будет список из 5 соц.сетей в которых вы зарегистрированы. Пять фактов о вас убедительней!
Письмо с содержанием «пришлите СМС на номер ХХХХ чтобы пять ваших аккаунтов в/на… не заблокировали» — звучит бредово, не?
Письмо с содержанием «пришлите СМС на номер ХХХХ чтобы пять ваших аккаунтов в/на… не заблокировали» — звучит бредово, не?
Корень проблемы в том, что целая куча учётных записей привязывается к ящику электронной почты, хотя могла бы полагаться на пару логин+пароль и ничего больше не требовать от посетителя. И что станет, когда такие «письма счастья» в стиле «пришлите SMS, а не то абзац вам» будет рассылать (доведённое кризисом до крайних пределов финансового отчаяния) руководство какого-нибудь GMail, или Mail.Ru, или Яндекс.Почты, или любого менее крупного (но всё же значительного) их аналога?
Я не говорю, что развод является полной калькой. Но увеличение количества информации о «разводимом», увеличивает шансы достижения злоумышленниками цели.
Вы хотите чтобы я и «работающую» фразу придумал?
Вы хотите чтобы я и «работающую» фразу придумал?
Помнится мне, восстанавливал пароль к тому самому сервису, который изображен на скрине, а незадолго до этого сменил адрес почты в настройках. Так вот решил проверить, пришлет ли пароль на старую почту, прислал =)
только мне кажется, что проблема сильно надумана?
Проблема действительно раздута, но я привёл несколько способов получить из этой проблемы реальную выгоду.
Например через «развод» пользователя, известны и в том числе здесь упоминались случаи, когда люди платили за сохранения аккаунтов всяких соц.сетей и жмэйл почт, получив в почту одно спамовое письмо. Факты убеждают и знание нескольких фактов, будьте уверены, повышает стоимость этих фактов
Например через «развод» пользователя, известны и в том числе здесь упоминались случаи, когда люди платили за сохранения аккаунтов всяких соц.сетей и жмэйл почт, получив в почту одно спамовое письмо. Факты убеждают и знание нескольких фактов, будьте уверены, повышает стоимость этих фактов
ИМХО можно так: «Для восстановления пароля пошлите e-mail c темой PassRestore на адрес lostpassword@site.com с ящика, указанного при регистрации»
Есть вариант, которым пользуются у нас в Латвии — привязка к мобильному телефону. Самый безопасный вариант — забыли пароль, высылаете SMS и получаете в ответ пароль. Проверить есть ли человек с таким номером мобильного телефона не возможно, т.к. такого поиска пользователей не предусматривается (за исключением соц. сетей, но это уже другая песня совсем).
Спасибо. Добавил вариант восстановления через мобильный в свою заметку.
А насколько доступен такой вариант для администраторов сайтов и сколько смс стоит для пользователей?
Кстати из недостатков, многие мои знакомые не любят оставлять о себе личные данные, а телефон для них ооочень личен :)
Сам, правда, я оставляю телефон на каждом углу.
А насколько доступен такой вариант для администраторов сайтов и сколько смс стоит для пользователей?
Кстати из недостатков, многие мои знакомые не любят оставлять о себе личные данные, а телефон для них ооочень личен :)
Сам, правда, я оставляю телефон на каждом углу.
Как правило у всех SMS агрегаторов есть возможность отослать человеку что-то в ответ на его SMS — берёте SMS минимальной стоимости и используете их. Как правило есть SMS за себестоимость, т.е. стоит столько-же, сколько стоит отправить SMS другу. Что же касается личных данных — добавте в форму регистрации, что телефон используется только для востановления пароли и нигде не показывается. У нас в Латвии в соц. сети без номера телефона нельзя зарегистрироваться, т.к. подтверждение происходит через отсылку кода SMS'кой пользователю — вся Латвия пользуется и все вводят свои номера телефонов. Скрывают что-бы другие невидели, либо открывают только для друзей.
Мне, с точки зрения безопасности, вполне нравятся неопределённые ответы сервисов, вроде: «если аккаунт с данным e-mail'ом действительно существует, вы получите письмо с инструкциями по восстановлению пароля».
Ещё очень полезно, когда в таких письмах указывается IP адрес, с которого произведён запрос. :-)
Ещё очень полезно, когда в таких письмах указывается IP адрес, с которого произведён запрос. :-)
Что-то мне тоже кажется, что проблема надумана…
Допустим, у вас есть знакомый (или не-знакомый) человек, есть его визитка и вы знаете его e-mail.
Теперь вы хотите узнать, зарегистрирован ли он «вКомпакте», потому что если зарегистрирован, вы придумали хитрый способ поиметь с него денег.
Для того, чтобы узнать, зарегистрирован ли он «там», вы используете функцию восстановления пароля по e-mail.
Лично я для этих же целей предпочту зайти в эту соц. сеть и поиском найти этого человека. Практически все соц. сети требуют с человека реальные имена-фамилии-фотографии.
Либо я чего-то недопонимаю, либо опишите, пожалуйста, РЕАЛЬНУЮ пользу от того, что вы получаете в итоге.
Допустим, у вас есть знакомый (или не-знакомый) человек, есть его визитка и вы знаете его e-mail.
Теперь вы хотите узнать, зарегистрирован ли он «вКомпакте», потому что если зарегистрирован, вы придумали хитрый способ поиметь с него денег.
Для того, чтобы узнать, зарегистрирован ли он «там», вы используете функцию восстановления пароля по e-mail.
Лично я для этих же целей предпочту зайти в эту соц. сеть и поиском найти этого человека. Практически все соц. сети требуют с человека реальные имена-фамилии-фотографии.
Либо я чего-то недопонимаю, либо опишите, пожалуйста, РЕАЛЬНУЮ пользу от того, что вы получаете в итоге.
Для начала, интернет не ограничивается соц.сетями, где от вас требуют реальные имена.
Сценарий 1: это автоматический сбор предварительной информации о человеке, один емэйл которого вы уже знаете.
Сценарий 2: это массовый сбор информации о владельцах емэйлов. для попытки развода.
Я повторил те два сценария, которые предложил в статье. Зачем это может быть нужно в вашем случае — я не знаю :)
С визитки мы начинаем в моём сценарии 1. Смысл здесь — проверка тысяч сайтов на предмет использования на них при регистрации указанного емэйла.
Реальная польза, это автоматизация поиска ресурсов, на которых человек регистрировался с имеющимся у вас мылом
Разводим же мы в сценарии 2. При этом для разводов полезна массовость, так как никто не гарантирует вам, что сосредоточившись на одном человеке вам повезёт и он окажется излишне доверчивым.
Реальная польза, как я говорил, это дополнительная информация о человеке, повышающая ваши шансы, как разводилы.
Так достаточно подробно?
Сценарий 1: это автоматический сбор предварительной информации о человеке, один емэйл которого вы уже знаете.
Сценарий 2: это массовый сбор информации о владельцах емэйлов. для попытки развода.
Я повторил те два сценария, которые предложил в статье. Зачем это может быть нужно в вашем случае — я не знаю :)
С визитки мы начинаем в моём сценарии 1. Смысл здесь — проверка тысяч сайтов на предмет использования на них при регистрации указанного емэйла.
Реальная польза, это автоматизация поиска ресурсов, на которых человек регистрировался с имеющимся у вас мылом
Разводим же мы в сценарии 2. При этом для разводов полезна массовость, так как никто не гарантирует вам, что сосредоточившись на одном человеке вам повезёт и он окажется излишне доверчивым.
Реальная польза, как я говорил, это дополнительная информация о человеке, повышающая ваши шансы, как разводилы.
Так достаточно подробно?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Граница между удобством использования и безопасностью