Ä
Siksi en edelleenkään ymmärrä miksi pitäisi tehdä monimutkaista asiaa, kun muutokset voisi hoitaa
alunperinkin jo sähköpostiin lähetettävällä varmennuksella. Se on jo todettu idean isänkin puolesta moneen kertaan, että idea ei toimi ilman toimivaa sähköpostiosoitetta (kunnes keksii
joka kerta, että toimiipas
).
Use-case skenaarionki (joka todisti, että ei toimi) kanssa oltii samaa mieltä, kunnes seuraavassa viestissä
taas ei.
.
Vaikka tämä vääntö on jo vähän ohi, niin pakko kyllä itsekkin ihmetellä, miten että ymmärrä oscark:n ehdotuksen etua/eroa siihen, että vaihdos pitäisi aina käydä vahvistamassa toimivassa postissa.
Asia on nimittäin ihan päivän selvä.
Jos vaaditaan kuittaus toimivassa osoiteessa, niin sitä käyttäjätiedoissa olevaa vanhentunutta osoitetta ei voi ikinä omatoimisesti vaihtaa toimivaksi.
Jos olisi tuo karenssivaihtoehto, niin toimivaa osoitetta ei vaadita salasana/sähköpostin vaihdossa, ja vanhentuneen sähköpostin voisi itse vaihtaa toimivaan. Sitten ne joilla toimiva osoite tiedoissa on, saisivat hakkerointitapauksessa tiedon säpon/salasanan vaihdoista, ja voisivat reagoida ja saada tilin takaisin haltuun:
1. Jos salasana on vaihdettu, sen voisi palauttaa/resetoida sen toimivan sähköpostin kautta, käyttäen "unohdin salasanani" nappia.
2. Jos sähköposti on vaihdettu, niin nenet vaihtamaan säpon takaisin ja vaihdat salasana sen "unohdin salasanani" napin kautta. Toki parasta olisi, että säpon vaihdoksessa olisi oikeasti myös joku esim. viikon viive, jolloin oikea käyttäjä voisi resetoida sen passun heti tuolla, "unohdin salasanani" napilla, ilman että täytyisi ensin mennä taas vaihtamaan se säpo tuolta asetuksista. Tuolla viiveellä eliminoitaisiin myös se, että hakkeri keksisi käyttää tuota karenssin ulkopuolella olevaa salasananvaihtotapaa.
Kummassakin ym. tapauksessa oikea omistaja saisi tiedon tilin kaappauksesta, ja pääsisi itse vaihtamaan salasanan ja ottamaan tilin taas haltuun.
Toki kuittausvaihtoehto estäisi hakkeroinnit tehokkaammin ja helpommin, mutta edelleen se sitten estäisi sähköpostin vaihdon toimivaan, niillä käyttäjillä, joilla on vanhentunut posti tiedoissa. Se on se ero näissä.
Tiivistettynä:
1. Oscark:n karenssiehdotus ei siis auttaisi hakkerointitapauksessa niitä, joilla on vanhentunut sähköposti io-techin tiedoissa, mutta auttaisi kaikkia muita. Lisäksi käyttäjät joilla on vanhentunut sähköposti tiedoissa, voisivat edelleen vaihtaa sen itse ilman ylläpidon apua.
2. Pakollinen kuittaus vanhan sähköpostiin -menetelmä ei auttaisi hakkerointitapauksissa niitä, joilla on vanhentunut sähköposti io-techin tiedoissa, mutta auttaisi kaikkia muita. Käyttäjät, joilla on vanhentunut sähköposti io-techin tiedoissa eivät voisi itse vaihtaa sen tilalle toimivaa sähköpostia.
