Inscription simple vs sécurité
Je fais un service de rappel sur les nouveaux épisodes de la série. L'idée principale est de rendre l'enregistrement très simple, comme ceci: 
Le problème concerne la sécurité, je n'utilise pas CAPTCHA ni ne confirme les courriels ou les comptes Twitter. Un bot pourrait facilement mettre des tonnes d'adresses et je vais les spammer.
Un moyen beaucoup plus sûr serait d'envoyer un e-mail avec un lien pour confirmer. Et pour Twitter, utilisez l'API de connexion. Mais cela, bien sûr, ajoute plus d'étapes.
Existe-t-il une autre façon de résoudre ce problème? Les utilisateurs sont-ils si habitués à confirmer les e-mails que cela ne les dérangera pas?
Vous devez absolument confirmer les adresses e-mail. Les gens y sont habitués et les avantages de la sécurité supplémentaire l'emportent de loin sur "l'obstacle" que vous mettez en place.
Cela étant dit, il existe d'autres façons d'accepter les inscriptions par e-mail. Vous pouvez vous authentifier en utilisant Facebook, Twitter, OpenID ou des services similaires et l'utiliser pour communiquer avec vos utilisateurs.
Vous devez le confirmer, pour certaines des raisons suivantes.
- Il est illégal d'envoyer du courrier automatisé à une personne dans de nombreux pays (États-Unis et Union européenne inclus) sans que celle-ci ne se connecte au préalable directement. Cela nécessite un e-mail de confirmation de sa part. Dans de nombreux pays, les amendes pour l'envoi d'e-mails automatisés non sollicités (autrement appelés spam) sont élevées et peuvent être appliquées par e-mail envoyé. À lui seul, c'est une raison suffisante pour confirmer les e-mails en premier.
- Les gens font souvent un typo dans leur adresse e-mail, et non seulement ils ne l'obtiennent pas, mais vous spammeriez alors quelqu'un d'autre. Je reçois régulièrement des e-mails pour quelqu'un dont l'adresse e-mail est différente d'une seule lettre que la mienne.
- Sécurité. À moins que vous ne sachiez avec certitude que l'adresse e-mail appartient à une personne, vous ne pouvez jamais être sûr qu'il s'agit de la personne qui se connecte ou réinitialise un compte. Non seulement c'est une mauvaise pratique, mais vous courez également un risque de responsabilité juridique ici, dans lequel vous ne voulez pas vraiment vous lancer.
La confirmation par e-mail est une pratique courante, une exigence légale et une bonne UX.
Je pense que vous devez absolument confirmer toute adresse e-mail à laquelle vous envoyez des trucs. Sans une telle confirmation, le mal et la méchanceté deviennent beaucoup trop faciles.
La plupart des gens comprennent la nécessité de confirmer les adresses e-mail, et même s'ils trouvent cela un peu fastidieux, ils réalisent une partie importante du processus.
Gardez cet écran identique.
En cliquant sur "Commencer le rappel", envoyez-lui un e-mail de confirmation et informez l'utilisateur qu'il doit confirmer son abonnement.
Vous pouvez automatiquement créer un compte avec l'e-mail utilisé et envoyer à l'utilisateur un mot de passe aléatoire avec un lien pour le modifier.
Au lieu de confirmer l'e-mail, vous pouvez demander un captcha lorsque la même adresse IP tente de s'enregistrer pour la troisième fois en moins d'une heure. Cela crée moins de friction lors de l'enregistrement et moins de friction signifie plus d'enregistrements. J'ai travaillé dans un site Web qui l'utilisait assez bien jusqu'à la marque des 2 millions d'utilisateurs.
Il existe également certains services qui vous fournissent des API pour détecter les robots et les spams, que vous pouvez ensuite utiliser pour choisir quand afficher un captcha.
Cela, évidemment, lorsque vous implémentez votre propre authentification, comme indiqué dans une autre réponse, si vous comptez sur FB ou Twitter, cela n'est pas nécessaire.