web-dev-qa-db-fra.com

Faut-il autoriser plusieurs comptes d'utilisateurs à utiliser la même adresse e-mail?

Je crée un site Web gratuit sans inscription restreinte. Une partie de l'inscription comprend la validation de l'adresse e-mail saisie en cliquant sur un lien que nous envoyons à cette adresse. L'identifiant unique de chaque compte est le nom d'utilisateur choisi.

Doit-on permettre à plusieurs comptes d'utilisateurs (potentiellement la même personne avec plusieurs comptes) d'exister avec des adresses e-mail correspondant exactement?

44
bowlesa

Non!

Vous ne pouvez pas envoyer de liens "mot de passe oublié" à un seul compte si vous avez la même adresse e-mail, sauf si l'utilisateur spécifie un nom d'utilisateur unique. Mais que se passe-t-il si l'utilisateur oublie également le nom d'utilisateur? Ensuite, vous devez réinitialiser le mot de passe sur tous les comptes associés à l'adresse e-mail.

73
Benny Skogberg

Oui!

Il n'y a aucun problème de sécurité. Si deux personnes partagent un compte de messagerie et que l'une d'elles a un compte sur votre site, l'une ou l'autre peut réinitialiser le mot de passe sur le compte (puisqu'elles ont toutes les deux accès à l'endroit où les e-mails "nom d'utilisateur oublié" et "mot de passe oublié" être envoyé). Les deux personnes ont la possibilité de prendre le contrôle du compte, et c'est leur problème.

Les seules préoccupations sont la convivialité. Nous avons 3 types de comptes de messagerie:

n utilisateur du site/un utilisateur de messagerie: Dans les deux cas, ils ne sont pas affectés. Même si vous devez prendre en charge des e-mails spécialisés (récupérer le nom d'utilisateur pour les e-mails avec plusieurs comptes), un utilisateur régulier recevra toujours le même e-mail avec son seul nom d'utilisateur.

n utilisateur du site/plusieurs utilisateurs de messagerie: Encore une fois, non affecté dans les deux cas.

Plusieurs utilisateurs du site/plusieurs utilisateurs de messagerie: Si vous ne prenez pas en charge plusieurs comptes, un seul utilisateur peut avoir un compte, donc la moitié des personnes seront dans le groupe ci-dessus et la moitié d'entre elles ne pourront pas créer un compte (ou s'ils le veulent vraiment, ils créeront probablement un compte jetable qu'ils perdront immédiatement).

Si vous prenez en charge plusieurs comptes, ce groupe aura besoin d'une fonctionnalité spéciale "Récupérer le nom d'utilisateur" qui envoie tous les noms d'utilisateur attachés au compte, au lieu d'un seul. Ainsi, la récupération d'un nom d'utilisateur sera légèrement moins utilisable car ils doivent déterminer quel nom d'utilisateur est le leur, mais beaucoup plus utilisable car sinon la moitié d'entre eux ne peuvent pas créer de compte en premier lieu. Dans le scénario (peu probable) où les deux essaient de réinitialiser les mots de passe suffisamment près à temps pour ne pas savoir quel e-mail est destiné à qui (par exemple, dans la même journée), il incombe aux utilisateurs de le comprendre en demandant de nouveau un e-mail de changement de mot de passe un à la fois. Mais encore une fois, cela n'affecte que ce sous-ensemble d'utilisateurs, dont la moitié ne serait pas en mesure d'avoir un compte en premier lieu.

Donc, je ne pense pas qu'il y ait une raison UX d'empêcher plusieurs utilisateurs pour une même adresse e-mail. Le seul coût est le temps de développement supplémentaire, qui devrait être insignifiant ou très mineur.

44
Turch

Je suis d'accord avec réponse de Turch qu'autoriser plusieurs comptes d'utilisateurs par adresse e-mail peut être une bonne idée, mais je ne pense pas qu'une fonctionnalité spéciale "moins utilisable" "Récupérer le nom d'utilisateur" 'soit nécessaire, et Je ne suis pas d'accord avec raisonnement de Benny Skogberg qu'une réinitialisation de mot de passe nécessiterait la réinitialisation tous mots de passe.

Scénario: Sur Example.com, deux comptes sont enregistrés avec l'adresse e-mail doe @ family. exemple, John2000 et Alice3000 +. Maintenant que John a oublié son mot de passe et son nom d'utilisateur, il ne se souvient que de l'adresse e-mail. (Peu importe si Alice3000 + est également son compte, ou si c'est le compte de son partenaire et qu'ils partagent une adresse e-mail.)

  1. Dans le "Mot de passe oublié?" sous forme de Example.com, il entre [email protected].
  2. Un e-mail est envoyé à [email protected]:

    Quelqu'un […] si c'était toi […] (… et ainsi de suite)

    Si vous souhaitez réinitialiser votre mot de passe, suivez ce lien:

    http://example.com/password-reset?t=23471192…3123123

  3. John visite ce lien (il est maintenant invalidé, donc ne fonctionne pas pour un deuxième essai) et la page dit:

    Votre adresse e-mail est associée à deux comptes. Sélectionnez le compte pour lequel vous souhaitez réinitialiser le mot de passe:

    • Alice3000 +
    • John2000
  4. John clique sur son compte, John2000, et peut entrer un nouveau mot de passe.

À l'étape 3, la liste pourrait inclure des informations supplémentaires pour identifier/lever l'ambiguïté des comptes (par exemple, date d'enregistrement, dernière activité, contributions les plus populaires, etc.).

Les utilisateurs novices qui partagent une adresse e-mail peuvent ne pas être au courant du fonctionnement des sites Web (c'est-à-dire que les réinitialisations de mot de passe existent et que quelqu'un d'autre ayant accès au compte de messagerie peut réinitialiser le mot de passe et se connecter sous son nom), donc ce pourrait être une bonne idée pour les informer du risque dès qu'ils tentent d'ouvrir un deuxième compte.

11
unor

Je dirais non, mais utilisez des sous-comptes si vous avez vraiment besoin de cette fonctionnalité. Je pense que cela peut être déroutant pour les utilisateurs à moins que votre site ne prenne en charge les sous-comptes. Netflix.com possède un seul compte d'authentification, mais il existe des sous-comptes qui prennent en charge différents profils de préférences utilisateur.

Cela met tout au grand jour pour les utilisateurs. Ils devront donner le nom d'utilisateur/e-mail et le mot de passe à la ou aux autres personnes s'ils souhaitent accéder au compte. Ils peuvent ensuite gérer/utiliser un profil particulier. Ils devront savoir que l'autre personne pourrait utiliser/abuser de son profil. Il n'est peut-être pas si évident que la création de comptes avec le même e-mail signifie que l'autre personne pourrait changer votre mot de passe.

Un utilisateur non informé pourrait se faire arnaquer avec une nouvelle confirmation de compte pour son adresse e-mail, sauf si vous exigez ensuite la création d'un nom d'utilisateur/mot de passe à ce moment-là.

2
JeffO