最近龟软的 outlook 个人邮箱账户 SMTP 似乎被禁用了,这种情况出现好几次了,每次都过了半个月才发现发不了验证码,思来想去决定简化注册流程,毕竟除了恢复密码外,我根本不需要用户的邮箱。
举报· 163 次点击
登录 注册 站外分享
14 条回复  
xuanbg 小成 2024-10-9 07:40:14
加个第三方登录不就好了么
agood 初学 2024-10-9 06:33:09
用通行密钥,密码都可以省了,恢复账号的话可以登录后
Livid 初学 2024-10-9 05:34:15
https://github.com/spruceid/siwe
promiser3d 初学 2024-10-9 04:07:45
直接简单点不要密码。 用户邮箱登录,就直接发送登录码到邮箱;
或者干脆用公众号登录。发送登录码到公众号,就直接关联登录了。
as9567585 小成 2024-10-9 03:04:05
Google 身份验证器 也叫  动态口令
jeesk 初学 2024-10-9 02:24:15
没有秘密, 使用邮箱,手机验证码或者第三方登陆(微软,谷歌,苹果), 参考 supercell 的方案。
xmumiffy 小成 2024-10-8 23:22:06
绑 oAuth 也行
drymonfidelia 小成 2024-10-8 23:19:35
面向程序员的网站可以考虑 GPG 签名或者 GitHub 的公钥验证找回密码
gwy15 小成 2024-10-8 23:12:36
用 mailgun 之类的发信服务呗
weakish 小成 2024-10-8 23:09:05
问题和答案不是很可靠,用户只有注册的时候才会设置问答,设置好之后以后基本上就再也不用了,到需要恢复账号的时候可能已经忘掉了问答,除非你定期提示用户回答这些问题,如果回答错误就要求重新设置,但是这样对用户来说很麻烦。然后用户如果设置的答案过于简单很可能被攻击者猜到。

可以提示让用户绑定多个不同服务商的邮箱,这样用户收不到的时候,可以自己在 UI 选择发送到其他邮箱,当然很多用户可能只绑定一个邮箱,但是绑多个邮箱的用户重试比率超过阈值的时候可以发告警,一定程度上可以减轻工作量。

除了邮箱还有就是手机,但是其实很多地区的用户比较排斥绑定手机号,而且通过短信发验证码一样有送达率问题而且发短信比邮件贵多了。另一个途径是通过 WhatsApp API 给相应手机号发验证码,但不是所有人都用 WhatsApp 的。

所以盯着邮件服务是否异常(包括人工盯以及设置自动告警)的工作量基本上是省不掉的。

要最省力,那就是在注册的时候提示用户妥善保存用户名和密码,丢失后无法找回,只能重新注册新账号。
12下一页
返回顶部