beste manier van email activatie link
Als een gebruiker zich registreert bij een pagina met een login, dan wordt vaak een bevestigingsemail gestuurd met hierin een activatie link of een activatie code.
Mijn vraag gaat over de activatie link. Wat is de beste inhoud voor een activatie link?
Soms is deze activatie link namelijk encrypted met MD5 of een andere methode. Maar is dit nodig?
Waarom is er in dit geval encryptie nodig?
Wat gebeurt er als je gewoon een link stuurt met daarin een random woord of misschien een (1) letter zelfs?
Wat is het gevaar van het onderscheppen van deze code?
Dat gebruik ik altijd in de activatielink en daarbij moet de gebruiker zijn/haar wachtwoord invoeren om te activeren.
Ik zie in principe geen gevaar in onderschepping van een activatiecode, als de 'onderschepper' het wachtwoord ook niet heeft/weet :-)
En als iemand onrechtmatig in andermans mailbox snuffelt.....dan is een account zo gekaapt.
Gewijzigd op 15/03/2016 20:20:04 door - Ariën -
Het hele idee van een activatie link is dat je verifieert of de gebruiker wel een email adres heeft ingevuld dat van hem/haar is. Als je woorden gaat gebruiken dan kun je in principe gewoon gokken (daarom zou ik ook geen time() gebruiken hierboven wordt gezegd) want als iemand eenmaal weet dat je een timestamp gebruikt in de link dan hoeven ze helemaal hun mail niet meer te bekijken. De vraag is dus eerder: waarom zou je geen encryptie of (pseuodo)random functie gebruiken om dit probleem op te lossen? Het is onmogelijk om een tekenreeks van 20 characters te gokken, je weet dus zeker dat de opgegeven email wel van de gebruiker is.