E-mailadressen geen goede permanente identifier voor accounts

[Captain Kirk]

E-mailadressen zijn geen goede permanente identifiers voor accounts, zo stelt Chris Siebenmann van de Universiteit van Toronto. Veel organisaties maken gebruik van e-mailadressen als interne identificatie voor accounts. Volgens Siebenmann zijn er twee problemen met deze aanpak. E-mailadressen van personen kunnen veranderen, zelfs binnen een organisatie. Daarnaast bestaat er de mogelijkheid dat organisaties e-mailadressen hergebruiken.

"Soms heb je geen keus, omdat account recovery via het bekende e-mailadres moet gaan, maar in andere gevallen heb je een vorm van interne ID die uniek en permanent zou moeten zijn, en die moet je gebruiken", aldus Siebenmann. Zelfs wanneer e-mailadressen voor accountherstel worden gebruikt, zou de interne identifier die de organisatie voor accounts gebruikt betekenisloos moeten zijn. "Dit maakt je leven op de lange termijn een stuk eenvoudiger, zelfs als het nooit aan mensen wordt getoond."

Het pleidooi van Siebenmann zorgde voor honderden reacties op Hacker News. In één van de reacties wordt gesteld dat er geen goede identiteit is. "E-mailadressen veranderen, mensen verliezen toegang tot oude e-mailadressen. Mensen houden niet van gebruikersnamen, ze willen niet-unieke gebruikersnamen kunnen kiezen in plaats van iets als user53267 te gebruiken. Mensen verliezen toegang tot apparaten, alleen het opslaan van een geheim UUID in hun cookie, of het gebruik van een passkey van hun apparaat gaat niet werken. Er is geen ideale oplossing, behalve het combineren van verschillende dingen."

 

bron: https://www.security.nl