在使用密码支持的身份验证的情况下,如果用户忘记了密码,则提供商始终信任用户的电子邮件安全性。
那为什么这么大惊小怪呢?为什么不使用电子邮件向注册用户发送秘密登录密钥?当用户忘记密码时,网站不是这样做的吗?
仍然使用密码进行身份验证的原因是什么?无密码身份验证缺少哪些主要问题?
一个区别是,如果您通过忘记的密码登录,您通常必须将密码更改为其他密码,这样它就不会被发现-攻击者很可能会被发现。如果这只是电子邮件中的登录链接,事实并非如此,攻击者可以登录,很可能没有人会注意到。当然,可以通过控制来缓解这种情况,但它很快就变成了一个用户体验问题。
另一个用户体验方面是,如果只有登录链接,就必须一直转到你的电子邮件。很多人使用密码管理器,这使得输入非常安全和唯一的密码变得非常容易。如果是登录链接,则必须打开电子邮件,从而中断应用程序中的流程。可以说这很不方便。
此外,在电子邮件中发送的登录链接将在url中包含一个令牌。这将被浏览器记住,登录中间代理,登录到web服务器日志等等。机密不应该在url中发送。然而,如果它是在(非常(有限的时间内有效的一次性代币,那么这种风险就会大大降低。
话虽如此,仍有一些商业应用程序选择通过电子邮件链接进行无密码登录。如果实现正确(一个足够强大的一次性令牌,具有足够的熵,使用适当的加密随机生成器生成等等(,通过电子邮件链接进行无密码登录对许多应用程序来说是足够安全的,这主要是一个用户体验问题(请记住上面的安全考虑因素(。