Только для электронной почты в качестве аутентификации

Question

Как насчет использования только адресов электронной почты (без имен пользователей, без паролей) для аутентификации в качестве разновидности OpenID для бедного человека?

Процесс регистрации потребует только электронную почту пользователя и отправит ему ссылку со случайнымодноразовый номер для входа в систему, как обычно делают многие службы для восстановления пароля / проверки электронной почты.После проверки одноразового номера служба установит (постоянный) cookie в браузере, как обычно, и использует его в качестве идентификации.Если пользователь хочет использовать другой компьютер / браузер, необходимо отправить другое сообщение.

Я никогда не видел, чтобы сайт делал что-то подобное.Что вы думаете об этой схеме?Есть ли какие-либо очевидные дыры в безопасности, которых я не вижу (учитывая, что обычные вещи, такие как защита файлов cookie только для https, выполняются правильно)?Сложно ли в наши дни получать подобные письма через спам-фильтры?Как вы думаете, было бы сложно пользователям привыкнуть к этому?Видите ли вы какие-либо проблемы с юзабилити?

Answer 1

Это было бы небезопасно. По умолчанию электронные письма отправляются в виде открытого текста, и вы не можете гарантировать, что они будут отправлены в зашифрованном виде (почтовый сервер пользователя может не поддерживать TLS). Кроме того, существуют некоторые крайние случаи: почтовый ящик может быть доступен более чем одному человеку; адрес электронной почты может стать собственностью другого человека или людей в будущем, особенно в случае рабочих адресов электронной почты. Да, иногда вы хотите, чтобы учетные записи были унаследованы наследником вашего адреса электронной почты, но иногда нет.

Однако сайты, которые имеют функцию «сбросить пароль» и не требуют какой-либо другой аутентификации, кроме вашей способности читать электронную почту, чтобы использовать эту функцию, так же небезопасны! Они только выглядят более безопасными.