Registratie op site & email adres bekend check (+privacy)

Wil je aan het einde nog een melding daarvan geven? Wat als iemand zich registreert en per ongeluk een verkeerd mail adres opgeeft? Hoelang denkt hij dat het nodig is dat hij zijn bevestigingsmail krijgt? 1 uur, 1 dag, 1 week

De registratie zomaar toestaan is ook ongewenst. Imho stukken meer dan de melding dat een email adres al bekend is. Dat is voor mij nog wel eens een trigger van "oh, dan maar het forgot password linkje". Hoe wil je een forgot password afhandelen? Ga je beide gebruikers zomaar iets toesturen? Je wil dat gewoon uniek houden en voorkomen dat mensen 2 keer registreren. Zeker bij winkels is het gruwelijk irritant als je dit zou doen. Ben je ineens de orderhistorie kwijt.

Ik heb toevallig van de week nog iets vergelijkbaars ingebouwd in een site waar een registratie met een mailadres dat al bekend was resulteert in een redirect naar de password vergeten-pagina waarop dat mailadres vast is ingevuld. Het hangt een beetje van het type site af of dat wel of niet een privacy-issue is maar voor de meeste sites zal het geen barst uitmaken.

Oplossing lijkt me e-mail adres niet als uniek te zien, je kunt je namelijk afvragen of het voor een website interessant is dat 1 e-mail adres uniek is. Waarom niet gewoon een accountname ongelijk aan het e-mail adres? Daarmee kan de bezoeker zelf een anonieme account aanmaken.

Anders doe je de emailcheck als eerste. Dus je vraagt als eerste het emailadres, stuurt bevestigingsmailtje met link waarna ze door kunnen gaan met de rest van het proces. Als het adres al bestond, stuur je een mail waarin dat staat + de optie om het wachtwoord te resetten.

Klaar. Anders nog iets?

Als de privacy inderdaad zo belangrijk is, zou ik een nieuwe registratie poging met een reeds bestaand mail-adres gewoon behandelen als een "Forgot password request". De gebruiker die registreert weet dan alleen of het mail adres al eerder geregistreerd was als hij de mail kan lezen.

Als een persoon al bij de mail kan, is het IMHO niet meer jouw verantwoordelijkheid. Je zult er ook op moeten letten dat je bij het "Forgot Password" linkje ook altijd aangeeft dat er een mail verstuurd is, ook al is het mail adres niet bekend. Anders kunnen ze op die manier nog testen of het mail adres al geregistreerd is.

Het enige waar je dan nog mee te maken zou hebben is een timing-attack. Bijvoorbeeld forgot-password en je e-mail adres bestaat: wacht totdat smtp server bericht geaccepteerd heeft (stel 300ms) en e-mail adres bestaat niet direct pagina tonen 10ms.

Dan kan een attacker daar eventueel nog een analyze oploslaten. Wel vergezocht hoor, maar je voorbeeld van een site met een bepaalde doelgroep waarbij het gevoelig is of iemand lid is een goede.

mocean schreef op donderdag 19 mei 2011 @ 16:28:
Dat laatste kan nog steeds een issue zijn als je toegang hebt tot e-mail (van familie bijvoorbeeld), dus echt afgekaart hebben we het nog niet.

Dit scenario mag je compleet negeren. Als iemand zijn mail niet strict persoonlijk houdt, houdt de hele privacy discussie voor die persoon op.

SeatRider noemt als enige een echte oplossing, maar dat is iets dat uiteindelijk niemand zo implementeert omdat het enigszins gebruiksonvriendelijk is.

[Voor 16% gewijzigd door Voutloos op 19-05-2011 17:17]

Er zijn denk genoeg voorbeelden te bedenken, maar ik hecht er zelf niet zo'n waarde aan omdat je dan maar een throwaway e-mail account moet gebruiken, en zoveel informatie is 't nou ook weer niet. 't Geeft hooguit aanleiding om je password dictionary erop los te laten, dus beveiliging op veel inlogpogingen en waarschuwing voor zwakke wachtwoorden etc zou ik een hogere prioriteit geven.

[Voor 6% gewijzigd door matthijsln op 19-05-2011 17:43]

Voutloos schreef op donderdag 19 mei 2011 @ 17:07:
SeatRider noemt als enige een echte oplossing, maar dat is iets dat uiteindelijk niemand zo implementeert omdat het enigszins gebruiksonvriendelijk is.

Waarom? Die emailbevestiging moet je toch doen, en nu zit ie gewoon aan het begin. Extra bonus is dan ook nog dat de gebruiker denkt dat dat de enige stap was, en pas na het klikken op de link in de mail blijkt van niet. Maar dan heeft de gebruiker al twee stappen gedaan en zal ie de rest ook afmaken. Zorgt dus voor hogere conversie.

mocean schreef op donderdag 19 mei 2011 @ 17:24:
Maar de meningen hier, is het nu een privacy-issue, dat ik kan checken of mn kennis iets heeft besteld op de pabo website, of enig andere shop/forum/community?

In mijn opinie niet. Als dit echt een issue is kun je ook die persoon een mailtje sturen naar een website met de CSS URL check (kleur van linkje bekijken met JS en vergelijken met reeds bezochte link) en zo een veel grotere lijst met sites veel sneller controleren. Tuurlijk, moet die persoon er wel op klikken, iets meer moeite wellicht, maar zo zijn er nog wel alternatieven. Je kan je ook bijvoorbeeld gewoon wel zelf registreren en vervolgens kijken of die nickname gebruikt wordt - op veel fora kun je gewoon zoeken naar gebruikers.

Besides, wat wil je met die informatie? Zie je het gesprek al voor je? "Zo neef, ik zag dat jij op een website voor homos komt!" "Goh oom, hoe weet u dat?"

Natuurlijk kun je een legitieme reden hebben om gebruikers geheim te houden, in een dergelijk geval voldoet SeatRider' oplossing prima

@hierboven: je wilt liever niet dat gebruikers halverwege het proces onderbroken worden. Uiteindelijk wel een hogere conversie misschien, maar als ik halverwege een registratieproces verplicht vijf minuten moet wachten ga ik fijn wat anders doen en ervaar ik dat niet als gebruiksvriendelijk. Een groot probleem is het niet, maar ik zelf ervaar het in elk geval wel als minder prettig - en ik vermoed dat er meer mensen zijn die er ook zo over denken.

[Voor 17% gewijzigd door FragFrog op 19-05-2011 18:23]

Je kan het oplossen door bij het 'forgot password' linkje ieder e-mail adres te accepteren en dan een melding te geven als: "Het bericht is verzonden als uw registratie is gevonden" o.i.d.

Als een email adres dan bekend is in de database (ergo user bestaat) is, dan wordt de e-mail gestuurd om het wachtwoord te veranderen. Anders wordt de aanvraag gewoon genegeerd.