簡単な登録とセキュリティ
シリーズの新しいエピソードについてリマインダーサービスを行っています。主なアイデアは、次のように登録を非常に簡単にすることです。 
問題はセキュリティについてです。CAPTCHAを使用したり、メールやTwitterアカウントを確認したりしていません。ボットは大量のアドレスを簡単に置くことができ、私はそれらをスパムします。
より安全な方法は、確認のためのリンクをメールで送信するようなものです。また、Twitterの場合はログインAPIを使用します。しかし、もちろん、それはより多くのステップを追加します。
この問題を解決する別の方法はありますか?ユーザーはメールの確認に慣れているので、迷惑にならないでしょうか?
あなたは間違いなく電子メールアドレスを確認する必要があります。人々はそれに慣れており、追加のセキュリティの利点は、あなたが置く「ハードル」をはるかに上回ります。
とはいえ、メールで登録を受け入れる方法は他にもあります。 Facebook、Twitter、OpenID、または同様のサービスを使用して認証し、それを使用してユーザーと通信することができます。
以下の理由により、確認する必要があります。
- illegalは、最初に直接オプトインすることなく、自動メールを多くの国(米国および欧州連合を含む)の誰かに送信することです。これには、相手からの確認メールが必要です。多くの国では、迷惑な自動メール(別名スパム)を送信する場合の罰金が高く、送信されるメールごとに適用できます。これだけでも、最初にメールを確認する十分な理由になります。
- 人々はしばしば電子メールアドレスにtypoを作成します。そして、彼らはそれを取得できないだけでなく、あなたは他の誰かをスパムするでしょう。メールアドレスが自分のものと1文字だけ違う人のメールを定期的に受け取ります。
- セキュリティ。メールアドレスが人に属していることを確実に知らない限り、彼らがログインしている、またはアカウントをリセットしている人であることを決して確信することはできません。これは悪い習慣であるだけでなく、実際には入りたくない法的責任リスクもここで発生します。
メールの確認は一般的な方法であり、法的要件であり、優れたUXです。
送信するメールアドレスは必ず確認する必要があります。そのような確認がなければ、いたずらと悪意はあまりにも簡単になります。
ほとんどの人はメールアドレスを確認する必要性を理解しており、少し面倒だと思っても、プロセスの重要な部分を理解しています。
この画面はそのままにしておきます。
[リマインダーを開始]をクリックして確認メールを送信し、サブスクリプションを確認する必要があることをユーザーに通知します。
使用した電子メールでアカウントを自動的に作成し、変更するためのリンクを含むランダムなパスワードをユーザーに送信できます。
電子メールを確認する代わりに、同じIPアドレスが1時間未満で3回目の登録を試みたときに、キャプチャを要求できます。これにより、登録時の摩擦が減り、摩擦が減ると、登録数が増えます。私は200万人のユーザーのマークまでかなりよくそれを使用したウェブサイトで働いた。
また、ボットとスパムを検出するためのAPIを提供するサービスがいくつかあります。これらを使用して、キャプチャを表示するタイミングを選択できます。
FBまたはTwitterに依存している場合に他の回答で述べたように、独自の認証を実装する場合、それは明らかに必要ありません。