最近龟软的 outlook 个人邮箱账户 SMTP 似乎被禁用了,这种情况出现好几次了,每次都过了半个月才发现发不了验证码,思来想去决定简化注册流程,毕竟除了恢复密码外,我根本不需要用户的邮箱。
举报· 167 次点击
登录 注册 站外分享
14 条回复  
Muniesa 小成 2024-10-8 21:48:00
想不到,但你这个发不了邮件的问题,或许可以找回密码时让用户使用注册时留的邮箱主动发验证码过来?
grayish 小成 2024-10-8 22:21:55
用户账号也会忘记 不绑定邮箱麻烦 https://i.imgur.com/agAJ0Rd.png
Nosub 小成 2024-10-8 22:26:40
邮箱就是账户名,最简单的办法,不然你只能通过手机号了。
NoOneNoBody 小成 2024-10-8 22:52:08
看样子不是很严谨的网站
其实留邮箱更多是防 bot 暴力破解以及验证本人操作,不是取回密码的必要步骤

这也简单,注册时让对方留下一句无需纸笔自己也绝不会忘记的话,需要一定长度,并大字注明这是唯一重置密码的方式,届时要一字不差输入,将这句话和用户名加盐 hash 保存

用户不记这些东西,说明他也不在意丢失账密无法登入
至于暴力破解,用其他方式拦截
weakish 小成 2024-10-8 23:09:05
问题和答案不是很可靠,用户只有注册的时候才会设置问答,设置好之后以后基本上就再也不用了,到需要恢复账号的时候可能已经忘掉了问答,除非你定期提示用户回答这些问题,如果回答错误就要求重新设置,但是这样对用户来说很麻烦。然后用户如果设置的答案过于简单很可能被攻击者猜到。

可以提示让用户绑定多个不同服务商的邮箱,这样用户收不到的时候,可以自己在 UI 选择发送到其他邮箱,当然很多用户可能只绑定一个邮箱,但是绑多个邮箱的用户重试比率超过阈值的时候可以发告警,一定程度上可以减轻工作量。

除了邮箱还有就是手机,但是其实很多地区的用户比较排斥绑定手机号,而且通过短信发验证码一样有送达率问题而且发短信比邮件贵多了。另一个途径是通过 WhatsApp API 给相应手机号发验证码,但不是所有人都用 WhatsApp 的。

所以盯着邮件服务是否异常(包括人工盯以及设置自动告警)的工作量基本上是省不掉的。

要最省力,那就是在注册的时候提示用户妥善保存用户名和密码,丢失后无法找回,只能重新注册新账号。
gwy15 小成 2024-10-8 23:12:36
用 mailgun 之类的发信服务呗
drymonfidelia 小成 2024-10-8 23:19:35
面向程序员的网站可以考虑 GPG 签名或者 GitHub 的公钥验证找回密码
xmumiffy 小成 2024-10-8 23:22:06
绑 oAuth 也行
jeesk 初学 2024-10-9 02:24:15
没有秘密, 使用邮箱,手机验证码或者第三方登陆(微软,谷歌,苹果), 参考 supercell 的方案。
12下一页
返回顶部