confirmar correo electrónico o verificación de correo electrónico más tarde?
Tengo un formulario de registro, nombre, correo electrónico, contraseña. También ofrezco la conexión de Facebook y, en el futuro, todas las demás formas de Open ID, pero por ahora me centraría en el proceso regular:
Actualmente, solicito la confirmación de la contraseña y luego envío un correo electrónico para confirmar la dirección de correo electrónico.
Pero realmente también me gusta la forma de Tumblr, que otorga una funcionalidad completa incluso sin confirmación por correo electrónico, por lo que con su correo electrónico + contraseña ingresados, ingresa al sitio en literalmente 30 segundos ...
Entonces mi pregunta es: ¿cuáles son las mejores prácticas y en términos de métricas/estadísticas si es mejor permitir un proceso fácil pero con el riesgo de un alto volumen de cuentas falsas, incorrectas e incompletas OR preguntar más inicialmente para que los usuarios que completan el proceso sean "usuarios de calidad"?
(Espero que mi pregunta sea clara, perdón por mi inglés).
optaría por un inicio de sesión instantáneo (y también un correo electrónico de verificación), pero con privilegios limitados hasta que el usuario confirme la dirección de correo electrónico.
Personalmente me gusta la forma de StackOverflow. Ahora, no sé el proceso SO utiliza para crear una cuenta sin OpenID/OpenAuth, pero OpenID/Oauth es fácil de ver. Además, OpenAuth le permite recibir esta información , preconfirmado por el OAuth, si el usuario lo permite (así que será mejor que los venda en el botón Permitir). Luego, a medida que el usuario contribuye (los sitios definen lo que significa contribuir) al sitio , ganas más privilegios.
Para empezar, el sitio de Tumblr requiere más que cualquier correo electrónico/contraseña, el correo electrónico ya no debe estar en la base de datos y no debe tener una cookie en su navegador que indique que ya ha creado una cuenta ; si tiene la cookie, el sitio lo conecta automáticamente. Suponiendo que también limitan la cantidad de cuentas creadas por IP por cantidad de tiempo establecida; pero no puedo probarlo fácilmente porque hay un CAPTCHA. Lo que me lleva a CAPTCHA, después de enviar la información de correo electrónico/contraseña, requiere que pase un CAPTCHA , en este caso uno por reCAPTCHA ; que ahora es propiedad de Google.
Antes de agregar información/análisis adicional ... ¿podría vincular al sitio en cuestión, para que pueda tener una mejor idea de la entrada de datos y funciones proporcionadas, o simplemente dígales si eso funciona mejor para usted.
Análisis:
- (1) PROBLEMA: Si un usuario ingresa el correo electrónico incorrecto por error o a propósito, y olvida la contraseña o el correo electrónico incorrecto de la cuenta , están bloqueados y no pueden acceder a su cuenta. RESULTADO: Esto llevaría a usuarios descontentos, más contacto de soporte, etc. SOLUCIÓN: Requiere confirmación por correo electrónico.
¡Gracias!
Parece que la pregunta principal que debe hacer es qué contiene la vista autenticada una vez que la cuenta está configurada con el nombre de usuario y la contraseña.
Esto puede tomar dos formas: un Shell vacío o una representación de la persona poblada con información personal que ya tiene el servicio en cuestión.
La mayoría de los ejemplos dados hasta ahora los clasificaría como shells, ya que aparte del nombre de usuario y la contraseña no hay nada en la cuenta. En estos casos, si no hay uso después de un período de tiempo, probablemente valga la pena purgar la cuenta y esto eliminaría los informes erróneos y los gastos generales que podrían ser el resultado del almacenamiento de cuentas inactivas.
Si la cuenta proporciona acceso a información ya almacenada, la verificación por correo electrónico agrega un paso de seguridad adicional contra el acceso a la cuenta. En este caso, en última instancia, será cuán adverso al riesgo es su organización.