メールアドレスだけでなく、ユーザー名を使用してユーザーを識別するのはなぜですか?
メールアドレスだけでなく、ユーザー名を使用してユーザーを識別するのはなぜですか? -セキュリティの専門家(私ではありません)が、たとえばネイティブ/ Webアプリケーションの作成時に、ユーザー名の別のレイヤーを挿入することを推奨する場合の主な問題または主なケースは何ですか?
あなたの質問には多くの文脈がありませんが、あなたが言うことはあなたが議論を解決しようとしているように思えます。したがって、私の答えは「状況によって異なります」から始まります。
メールアドレスではない一意のユーザー名を使用する理由の1つは、他のユーザーがユーザー名を見ることができる場合にプライバシーを保護することです。たとえば、GitHubプロファイルは、プロファイルURLでユーザー名を示し、コミット、問題、コメントなどの作成者インジケーターとして示します。
ユーザーのメールアドレスではなく、ユーザーのパブリックフェイスとしてユーザー名を提供することで、プライバシーを一層強化できます。
一部のまれなケースでは、サービスはメールアドレスをまったく収集しないことを選択する場合があります...メールアドレスは機密情報であり、個人を特定できる情報と見なすことができるためです。電子メールアドレスをまったく収集しないことの欠点は、パスワードを忘れた、またはアカウントに違反した人がアカウントを回復することは、回復に使用する確認済みのチャネルがないと、さらに困難になることです。
または、ハイブリッドアプローチの場合、電子メールアドレスを収集して、強力な暗号化の背後にあるデータベースに保存することができます。強力な暗号化は一般に検索が難しいため、プレーンテキストで保存できる、使用する機密性の低い識別子を用意すると便利です。
電子メールある実際、多くのWebサイトでユーザーIDに使用されます。
これには長所と短所があります。不完全なリスト:
利点
- 一意性の問題はすでに解決されています
- ユーザー名を思いついたり、発明したりする必要はありません
- 追加でメールアドレスを尋ねる必要はありません
短所
- 人々は時々彼らの電子メールアドレスを変更します
- 多くの場合、電子メールアドレスが公開されます(スパム、嫌がらせなどの問題)
- 状況によっては、アドレスではなくユーザー名が必要になる場合があります
一般的で安全なソリューションは、ユーザー名を表示することと、電子メールアドレスを使用してログインすることの両方です。
アプリケーションの種類によって異なります。フォーラムの場合、いくつかの理由でユーザー名の別のレイヤーを追加することは理にかなっています:
電子メールアドレスを公開しないようにマスクします(表示名が必要であり、多くの人は電子メールアドレスを公開したくない場合があります)。ただし、別のオプションとして、ユーザーに自分の電子メールアドレスでログインさせ、表示名を選択するオプションを与えることもできます。
ログインのしやすさ(もちろん、ブラウザーがログインIDを記憶しているため、これはあまり重要ではなくなります)。
メンバーがパブリックと対話しないアプリケーションの場合は、おそらく電子メールアドレスでログインするのが理にかなっています。
まだ言及されていない理由の1つは、ユーザーが複数のアカウントを作成できるようにする機能です。すべてのサイトでアカウントを1人に制限する必要はありません。
複数のアカウント/ IDを許可することは、セキュリティ/プライバシーの問題です。悪用される可能性がありますが、仕事と私的事項などを分離できるため、プライバシーが強化されます。
Stack Exchangeでは、複数のアカウントを保持できます。ただし、メールはIDとして使用されるため、アカウントごとに異なるメールアドレスが必要です。
メールがIDとして使用されていない場合は、同じメールアドレスで複数のアカウントを作成できます。これにより、ユーザーの作業が簡素化され、複数のIDに対する適切なサポートシステムが可能になります。
1人に複数のアカウントを許可しない理由の1つは、リソースの割り当てです。 (たとえば、10 GBの空き容量がある場合があります)ただし、プライバシー上の理由から複数のアカウントを作成した場合、実際には空き容量は気になりません。
複数のアカウントで同じメールアドレスを使用できるようにすることで、ユーザーは複数のIDを取得できますが、メールアドレスを使用して限られたリソースを追跡できます。
これは虐待を防ぐことはできませんが、正直な人々を特定するのに役立ちます。
もちろん、これを実現する他の方法もあります。
プライバシーと使いやすさに加えて、ユーザー名はメールアカウントが侵害された場合のシナリオをカバーする可能性があります。
たとえば、サイトにリンクされているメールアカウントが侵害された場合、被害を最小限に抑えるために、メールアカウントを新しいアカウントに変更します(デフォルトを変更します)。
人々はさまざまな理由でメールアカウントにアクセスできなくなります。
lotのトラブルに遭遇しない限り、メールアドレスはユーザー名にとってはお勧めできません。一意のユーザー名は言うまでもありません。
たとえば、「[email protected]」のようなメールアドレスでアカウントを登録し、スパムを受け取った場合に、どのサービスが私のアドレスをリークしたかを確認できるようにします。
これが、メール配信の目的でメールアドレスとして登録する必要があるアドレスです。
ただし、ユーザー名の一意性については、「[email protected]」を確認するだけです。そのgmailを除いて(そして他の人もいると思います)、「[email protected]」、「[email protected]」などへのメールも受け入れます。したがって、一意性を確認するときにドットも無視する必要があります。 。
ああ、私はドットを使用したのか、サービス名を含めたのか、そしてそのサービス名が何であったのか覚えていないかもしれません。そのため、おそらくアカウントにアクセスできなくなります。
実際には、電子メールareがユーザーの識別に使用されることがあります。 Stack Exchange自体がそれを行います。メールとパスワードを使用してログインする必要があります。識別子の唯一の目的は、一意であることで、一種の名前空間を作成することです。すべての識別子(ユーザー名、メール、その他)に一意性を適用すると、-a fortioriとなり、すべての識別子:パスワードの組み合わせは一意になります。
ユーザー名の使用には、ログインの形式として電子メールを使用するよりもいくつかの利点があります。
- より安全です(ブラウザーのキャッシュ、電子メールアドレスの表示、フィッシングなど)。
- よりプライベートです(上記と同様の理由)
- より速く入力できる(そして、はい、これは何度も重要です)
- 電子メールが侵害された場合、または電子メールのステータスに依存しない場合に使用できるようにサーバー側を構成できます。
- 特定の一連のエラーを防ぐことができます(関連するものだけでなく、英数字のみを使用することは、ITの世界で一般的に使用する方が常に適切です)。
私が以前働いていた会社は、さまざまな目的でログインできるウェブサイトを開発しました。ただし、ほとんどのクライアントは、個人を特定できる情報(PII)を収集するアプリケーションに対して非常に厳しいポリシーを設定しています。記入すべきフォーム、提出すべき正当化、データへのアクセスの制御などがありました。したがって、可能な場合は、ユーザー名を使用して(PIIを要求しないで)ログインを実装し、それらのアプリケーションを使用できるようにします。