Авторизация: Логин/Пароль или E-mail/Пароль

Ситуация. Вы разрабатываете систему авторизации для ваших бизнес клиентов (B2B) и физ.лиц (B2C) в вашей веб-системе. Какой метод авторизации пользователей выбрать: Логин/Пароль или E-mail/Пароль?

Казалось бы, использование E-mail вместо Логина (Юзернейма) это очевидно и современно:
1. Для авторизации в системе пользователю достаточно помнить лишь e-mail и пароль.
2. Уведомления от системы будут приходить на e-mail, который является логином в систему.
3. Так делает Яндекс и Google. :)

Допустим, вы взяли эти аргументы на вооружение и успешно разработали веб-систему с авторизацией по E-mail. У вас начали регистрироваться пользователи от предприятий (B2B) с которыми вы работаете, а также ваши клиенты, являющиеся физ. лицами (B2C). Посмотрите, какие при этом возможны негативные сценарии использования авторизации по E-mail.

1. Если в конторе у нескольких сотрудников один e-mail, например, sales@contora.ru,
тогда они не смогут завести отдельные учетные записи в вашей системе.
Прежде им придется напрягать IT’шников и создавать доп. ящики, настраивать
почтовых клиентов и приучиться к регулярной проверке новых ящиков.

2. Если сотрудник уволился из организации, то и пользовательскую запись он тоже увел,
поскольку его e-mail есть ключ. А если бы ключом был не E-mail, тогда просто в настройках учетной записи можно поменять E-mail и дальше использовать данную учетную запись.

3. Если выводить, например, отзывы пользователей в публичный блог, получится нарушение конфиденциальности информации пользователей. Кроме этого, данные пользователи могут быть заспамлены, поскольку их почтовые адреса доступны всем.

4. Злоумышленник сможет проверить не зареган ли его сотрудник или конкурент в вашей системе,
достаточно ввести E-mail и при получении отлупа, навроде, пользователь с таким E-mail уже зареган,
вы палите человека.
Т.е. это опять нарушение конфиденциальности.

Вывод: данный метод подходит для тех систем, чьи пользователи гарантированно имеют персональный E-mail с монопольным доступом к своей учетной записи. Кроме этого, пользователям предоставляется возможность добавочно указать Юзернейм, чтобы не палить свой ящик в публичных заметках.
Один из примеров успешного использования e-mail в качестве логина – доступ к веб-морде почтового ящика. Поскольку Яндекс и Google предоставляют услуги почты, разумно авторизовать пользователей по их персональным E-mail адресам. Если пользователь еще не имеет ящика на Яндекс или Google, но хочет получить доступ к одному из сервисов данной системы, ему попутно предлагаю либо указать уже имеющийся E-mail, либо завести почту в данной системе.
Facebook использует авторизацию по E-mail из-за того, что изначально ориентирован на B2C, а не B2B пользователей.
LinkedIn также был изначально ориентирован на продвинутых людей, профессионалов в какой-либо области. Поэтому здесь также используется авторизация по E-mail.

А вот известный российский портал “Одноклассники”, чья аудитория от мала – до велика, использует аж 3 метода авторизации: логин, e-mail, мобильник. Это связано с тем, что пользователи данной соц. сети имеют разные предпочтения. “Живой журнал”, “Drive.ru” и “Из рук в руки” также авторизуют по Логину.

Дата создания 14/12/2011, 22:20