web-dev-qa-db-fra.com

Pour lier ou ne pas lier les connexions sociales à un e-mail correspondant

J'ai un site qui permet de se connecter via:

  1. Courriel (doit être vérifié et unique)
  2. Facebook
  3. Twitter
  4. LinkedIn.

Une fois que vous avez créé un compte via l'une de ces 4 méthodes, je vous offre la possibilité de lier des comptes supplémentaires. Cependant, si vous vous êtes inscrit par e-mail, puis essayez de vous connecter via Facebook, je vérifie si l'e-mail renvoyé de Facebook existe déjà dans le système. Si l'e-mail est déjà associé à un compte vérifié, je relie simplement le compte et je les connecte.

Je pense que c'est une méthode pratique pour se connecter et j'ai essayé de penser aux problèmes de sécurité, de confidentialité et d'inconvénients qui pourraient se présenter, mais je n'ai pas pu y penser. Je pourrais peut-être voir des gens penser que leur compte Facebook est distinct et non pas comme une adresse e-mail, alors peut-être confus quant à la raison pour laquelle leur compte a été associé à leur compte existant.

J'ai lire ce fil , mais cela semble être une question légèrement différente car ils traitent de noms d'utilisateur uniques, pas de courriels. Y a-t-il des problèmes de sécurité auxquels je ne pense pas? J'ai regardé d'autres sites à titre d'exemple et il semble varié quant à ce qu'ils mettent en œuvre, bien qu'il existe de nombreux sites qui créeront un compte SÉPARÉ pour vous si vous vous connectez avec social, c'est-à-dire: j'avais un compte existant créé en utilisant x, puis signé avec facebook et il est traité comme un compte séparé.

Y a-t-il une chose à laquelle je ne pense pas du point de vue de l'expérience utilisateur qui m'obligerait à ne pas lier les comptes automatiquement?

Flux de travail:

  • Un utilisateur s'inscrit avec un e-mail/mot de passe
    • Un utilisateur vérifie le courrier électronique. Peut maintenant se connecter.
    • Un utilisateur peut lier des comptes sociaux sur son profil.
  • Un utilisateur peut s'inscrire sur les réseaux sociaux.
    • Un utilisateur peut se connecter immédiatement, il n'y a aucune vérification.
    • Un utilisateur peut associer d'autres comptes et définir un mot de passe sur son profil.
  • Si un utilisateur possède déjà un compte existant et tente de se connecter via une méthode sociale
    • S'il existe une adresse e-mail vérifiée correspondante, le compte est lié et l'utilisateur est connecté. Un message informatif informe l'utilisateur.
    • S'il n'y a pas d'adresse e-mail correspondante, un nouveau compte unique est créé.
loginworkflowsignup-signon
11
Taylor Ackley

Les comptes sociaux confirment de toute façon si l'utilisateur veut se connecter au service avec le compte actuel ou non, donc je ne vois aucun problème ou problème de sécurité de ne pas lier les comptes sociaux si l'adresse e-mail est la même que celle avec laquelle l'utilisateur s'est inscrit. .

Il est toujours judicieux de lier le compte si les e-mails correspondent et c'est ce que l'utilisateur souhaite principalement. Si vous pensez que l'utilisateur souhaite créer un compte distinct, donnez-lui la possibilité de choisir ce qu'il faut faire si un compte similaire est trouvé au lieu de décider par vous-même.

Les utilisateurs aiment se sentir en contrôle, en particulier avec leur compte (la raison pour laquelle vous l'appelez Mon compte est qu'ils devraient se sentir en contrôle), alors laissez-le être la prérogative de l'utilisateur et non celle du développeur.

5
Taroon Tyagi

Je ne dirais pas qu'il y a des problèmes de sécurité car si l'accès à l'e-mail est requis dans tous les cas, vous savez que l'utilisateur doit être propriétaire des deux comptes.

Cependant, l'utilisateur peut ne pas vouloir lier les comptes pour une raison quelconque. Souvent, cela peut simplement être une paranoïa d'accorder des autorisations supplémentaires à votre site qu'ils préfèrent que vous n'ayez pas. Mais même si vous utilisez simplement la partie e-mail du compte et qu'aucun autre accès n'est accordé, vous devez toujours offrir à l'utilisateur quelques options s'il tente de se connecter avec un nouveau compte sous la même adresse e-mail:

  • Connectez-vous avec leur compte existant
  • [si votre système peut le gérer] Connectez-vous avec leur nouveau compte mais ne les liez pas
  • Liez les comptes et connectez-vous

De cette façon, l'utilisateur n'est pas obligé de stocker ses informations dans une base de données supplémentaire quelque part sur Internet s'il oublie simplement les informations qu'il a utilisées pour se connecter la première fois.

4
Chase Sandmann

En fait, il suit la même logique que le autre message que vous avez lié . Le raisonnement du côté UX est simple: nous utilisons tous autant de services et d'applications que nous ne nous souvenons pas, si nous nous déconnectons après des semaines (ou des mois) d'utilisation (ou de non-utilisation), comment nous nous sommes inscrits en premier lieu.

Secondairement, tous les utilisateurs ne sont pas à l'aise avec tous les types de connexion sociale. La connexion de Facebook a été compromise au début de cette année (et a depuis été modifiée) où un accès a été automatiquement fourni à l'application/au site sans le consentement de l'utilisateur. Ma propre recherche au cours des dernières années est que même si un grand pourcentage d'utilisateurs utiliseront volontiers Facebook pour se connecter, il existe également une grande méfiance à son égard. Twitter est plus fiable mais utilisé beaucoup moins. Google est plus fiable, mais leur service de connexion nécessite un e-mail et un mot de passe complets pour la configuration, ce qui est plus lourd que l'offre d'enregistrement Facebook et Twitter à un bouton. Et franchement, à moins qu'il ne s'agisse d'une application ou d'un site orienté entreprise ou entreprise, LinkedIn semble tout simplement superflu.

Cela signifie que les options sont bonnes, mais cela peut également entraîner de la confusion. Donc, à moins que vous ne stockiez un cookie/des données de ce que l'utilisateur a utilisé pour s'inscrire, il peut faire une erreur. Ensuite, vous vous retrouvez avec des orphelins d'utilisateurs, où quelqu'un pourrait accidentellement avoir deux ou plusieurs comptes. C'est une expérience terrible.

J'ai trouvé deux solutions simples à ce problème, dans le meilleur UX:

  1. N'offre qu'un seul service et/ou e-mail: cela résout le problème de confusion pour 99,9% des utilisateurs car si vous ne faites pas confiance à Facebook aujourd'hui pour vous connecter, vous ne leur fera pas confiance dans un mois ou deux. Ou, plus important encore, vous vous souviendrez que vous ne leur faisiez pas confiance. Ainsi, en revenant à l'écran de connexion/enregistrement, les utilisateurs sauront quel chemin suivre.
  2. Utilisez un numéro de téléphone: Celui-ci est génial pour mobile, bien qu'avec le Web, il soit plus difficile car il nécessite un niveau de confiance plus profond. J'ai maintenant créé trois applications qui ont utilisé l'enregistrement de numéro de téléphone et cela échoue rarement car les utilisateurs craignent que leur numéro soit désormais compromis. C'est une pratique sûre. Cependant, ce n'est pas nécessairement vrai sur le Web, ce qui signifie que l'expérience de la saisie de votre numéro de téléphone sur un site de bureau (ou même un site mobile, bizarrement) a un niveau de méfiance au-delà de celui des applications mobiles. Il existe un moyen d'atténuer cette méfiance: faire de ce champ de saisie un clavier numérique. C'est stupide mais ça a du sens. Les utilisateurs lui feront davantage confiance s'il est plus facile de saisir le numéro, surtout si des choses simples comme le formatage sont gérées automatiquement.

La seule alternative, comme mentionné précédemment, est d'enregistrer la façon dont l'utilisateur s'est enregistré (mais pas ses informations d'enregistrement), ce qui a un certain nombre de problèmes associés, il n'est donc pas recommandé.

3
Jamezrp

Du point de vue des utilisateurs, je dirais qu'il existe des problèmes de sécurité. N'oubliez pas que vous devez concevoir pour tous les niveaux de compétences informatiques. Les gens sont préoccupés par la sécurité. Comment grand-mère Jenkins saura-t-elle que si elle se connecte avec son compte Facebook, son identifiant FB/pw sera confidentiel/sécurisé?

Quel est votre site ou service? Semble-t-il légitime ou faux d'un étranger/nouvel utilisateur?

Si je suis sur un nouveau site et que j'ai la possibilité d'utiliser mon e-mail ou mon identifiant social:

E-mail = Si mes premières impressions sont que le site ou le service est légitime ou utile, je fournirai ma véritable adresse e-mail - sinon je m'inscris avec mon faux facto [email protected] jetable.

Facebook = Tinder est un exemple lorsque vous n'avez pas d'autre option, donc je vais me connecter avec FB - mais c'est une application qui a déjà été approuvée. Cela a également du sens car FB est un site social ainsi que Tinder. Pourquoi Tinder n'a-t-il pas la possibilité de se connecter avec un identifiant JP Morgan Chase, Bank of America ou Wells Fargo? ... parce que ça n'a pas de sens.

Linkedin = usage professionnel uniquement, sauf si votre site est lié à l'entreprise/à la carrière. Bonne chance pour que les gens utilisent leurs informations d'identification Linkedin. Encore une fois, est-il judicieux d'avoir cette option en termes de contenu/service/démographie de votre site?

Du point de vue de l'utilisateur, c'est certainement une fonctionnalité pratique et agréable d'avoir la possibilité de lier des comptes une fois que le site est jugé utile.

Cela dépend donc de la concentration de votre site et des personnalités des utilisateurs. Fournissez plus de détails sur votre site et les utilisateurs associés si vous souhaitez en discuter davantage.

1
atchrismai