Ja, genau diese Spannung versuche ich zu bewältigen.
Fachlich stimme ich zu, dass eine institutionelle E-Mail-Adresse eine stärkere Identitätsbestätigung bietet als eine private E-Mail-Adresse. Mein Grund, mich von institutionellen E-Mail-Adressen/SSO (Single Sign-On) zu lösen, ist nicht, dass private E-Mail-Adressen ein besserer Identitätsnachweis sind, sondern dass ich möchte, dass die Gemeinschaft eindeutig unabhängig ist und nicht für den fortlaufenden Zugang auf das Identitätssystem oder die E-Mail-Domäne einer Institution angewiesen ist.
Seit meinem ersten Beitrag habe ich den aktuellen Übergangszustand auf der Website selbst klarer dargestellt:
- Die Splash-/Login-Seite gibt nun an, dass Physics with Ethan unabhängig ist und nicht mit einer Universität, Schule oder Abteilung verbunden oder von dieser genehmigt wird;
- es wird auch erklärt, dass die Anmeldung derzeit die Verifizierung über Microsoft-Arbeits- oder Schulkonten zur Onboarding-Nutzung nutzt;
- bestehende Nutzer können nach der Anmeldung nun eine private E-Mail-Adresse hinzufügen, über Profil → Einstellungen → E-Mails;
- ich habe außerdem Hinweise hinzugefügt, die Nutzer auffordern, sich nicht unter dem Namen, der E-Mail-Adresse oder Identität einer anderen Person zu registrieren.
Ich denke also, dass die aktuelle Position eine Übergangslösung ist:
- Die Microsoft-Arbeits-/Schul-Verifizierung ist weiterhin nützlich, um das Risiko von Identitätsmissbrauch während des Onboardings zu reduzieren;
- aber ich möchte, dass bestehende Nutzer private E-Mail-Adressen hinzufügen;
- und ich möchte vermeiden, dass institutionelle E-Mail-Adressen/SSO zur langfristigen Abhängigkeit der Gemeinschaft werden.
Die praktische Discourse-Frage, auf die ich noch eine Antwort suche, ist:
Ist für eine Gemeinschaft, die von institutionellen E-Mail-Adressen/SSO hin zu lokalen Konten und privaten E-Mail-Adressen wechseln möchte, das sicherste Muster, den Übergang manuell/administrativ zu überprüfen, anstatt eine automatische Kontozusammenführung zu versuchen?
Zum Beispiel:
- bestehenden Nutzern erlauben, eine private E-Mail-Adresse hinzuzufügen, während sie angemeldet sind;
- die Splash-Seite klar über die aktuelle Onboarding-Methode informieren;
- irreführende Registrierungen/Identitätsmissbrauch abschrecken;
- automatische Kontozusammenführungen vermeiden;
- Konten nur zusammenführen, wenn eindeutige Beweise vorliegen, dass dieselbe Person die betreffenden Konten/E-Mail-Adressen kontrolliert.
Klingt das nach der richtigen, Discourse-nativen Richtung?