Насколько безопасен способ входа на сайт по коду из email?

Question

Александр Владимирович @polyanin

Golang, PHP & Symfony developer

Насколько безопасен способ входа на сайт по коду из email?

Приветствую!
Хочу максимально упростить вход пользователей на сайт и использовать следующий способ входа:
На странице входа пользователь вводит email, после чего получает на email одноразовый код (например 6 цифр), и вводит этот код на сайте. Всё, пользователь вошел на сайт. Даём, допустим 2 попытки ввести код на случай опечатки, или 1 минуту времени, после чего надо получить новый код. Запросить новый код можно раз в минуту.

Какова вероятность, допустим, взломщику угадать код с первого раза?
Подскажите, насколько безопасен такой подход? Какие недостатки?

Вопрос задан более года назад
142 просмотра

4 комментария

Подписаться 2 Простой 4 комментария

twobomb @twobomb

Вероятность угадать код с первого раза 0.13%, шестизначный код это факториал 6! = 720 возможных комбинаций

Написано более года назад
Dmitry Roo @xez

Есть ещё более простой способ: скидывать на почту «волшебную ссылку», которая содержит в себе код для входа, который может быть uid-ом и подобрать который невозможно.
У scaleway так реализовано

Написано более года назад
Rsa97 @Rsa97

twobomb, Шестизначный числовой код - это набор от 000000 до 999999, всего миллион вариантов. Соответственно, вероятность угадать с первой попытки - одна миллионная, с двух - чуть меньше двух миллионных.

Написано более года назад
twobomb @twobomb

Rsa97, а ну да точно я посчитал количество вариаций с использованием уникальных чисел без повторений.

Написано более года назад

Пригласить эксперта

Ответы на вопрос 2

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Электронная почта

+2 ещё

Простой
Можно ли узнать список почтовых ящиков в моем собственном домене?
- 1 подписчик
- 44 минуты назад
- 23 просмотра
2

ответа
Электронная почта

Простой
Как сделать правильно систему тикетов на сайте?
- 1 подписчик
- 16 апр.
- 55 просмотров
1

ответ
Электронная почта

+2 ещё

Простой
Организовать хранение почты на своем сервере?
- 2 подписчика
- 16 апр.
- 109 просмотров
2

ответа
Электронная почта

Простой
Как перенаправить почту на другой mail server?
- 2 подписчика
- 14 апр.
- 86 просмотров
1

ответ
Электронная почта

+2 ещё

Средний
Не правильный сервер при добавлении почты в почтовики, как исправить?
- 2 подписчика
- 10 апр.
- 48 просмотров
1

ответ
Программное обеспечение и интернет-сервисы

+1 ещё

Простой
Как удалить отправленные письма на которые не пришел ответ?
- 1 подписчик
- 08 апр.
- 85 просмотров
1

ответ
Электронная почта

+2 ещё

Средний
Не приходят уведомления на gmail.com с моего домена (Вероятная проблема PTR записи)?
- 2 подписчика
- 04 апр.
- 116 просмотров
2

ответа
ASP.NET

+3 ещё

Средний
Как сделать редирект на refresh-token когда получаю AuthenticationFailed на asp.net core web api?
- 1 подписчик
- 26 мар.
- 81 просмотр
2

ответа
Windows

+3 ещё

Простой
Почта Windows 10 не приходят уведомления о новых сообщениях с подключенным аккаунтом GMail, как исправить?
- 1 подписчик
- 26 мар.
- 59 просмотров
1

ответ
Unity

+2 ещё

Сложный
Как проверять в реальном времени подтвердили ли Email (Firebase, Unity)?
- 1 подписчик
- 25 мар.
- 64 просмотра
1

ответ
Показать ещё Загружается…

Менеджер по маркетингу (B2B, IT)

Даминион

от 90 000 до 120 000 ₽

Интернет-маркетолог в IT-компанию (собственный маркетинг)

ИНТЕРВОЛГА • Волгоград

от 80 000 до 120 000 ₽

Менеджер по контенту / Копирайтер в сфере трейдинга

Finandy

от 90 000 ₽

Специалист по работе с данными MySQL

23 апр. 2024, в 16:10

1500 руб./в час

Разработать модуль для flutter приложения

23 апр. 2024, в 16:05

3000 руб./за проект

Нужен таргетолог нашего сайта

23 апр. 2024, в 15:57

10000 руб./за проект

Вероятность угадать код с первого раза 0.13%, шестизначный код это факториал 6! = 720 возможных комбинаций
Есть ещё более простой способ: скидывать на почту «волшебную ссылку», которая содержит в себе код для входа, который может быть uid-ом и подобрать который невозможно.
У scaleway так реализовано
twobomb, Шестизначный числовой код - это набор от 000000 до 999999, всего миллион вариантов. Соответственно, вероятность угадать с первой попытки - одна миллионная, с двух - чуть меньше двух миллионных.
Rsa97, а ну да точно я посчитал количество вариаций с использованием уникальных чисел без повторений.

Answer 1 · 2023-03-31 10:23:13

Почему бы и нет, только не долгоживущий и одноразового использования. Недостатков куча, от перехвата до банальных какихто вещей о которых обычные смертные не догадываются, которые могут подсказать специалисты в теге по информационной безопасности развёрнуто. Поэтому сейчас модные OpenID OAuth всякие...

Answer 2 · 2023-04-01 11:56:28

Email коды не считаются безопасными в наше время. Факторы аутентификации должны быть разные. Желательно - разные физические устройства. Телефон. Планшент. RSA-token генератор.

Автор на самом деле задает хитрый и лукавый вопрос.

Хочу максимально упростить вход пользователей на сайт

и этот вопрос противоречит целям и задачам которые идут ниже.

Потенциальный злоумышленник скорее всего угадывать ничего не будет. Он обычно осведомлен
об особенностях безопасности и точно знает что делает. Угадайка здесь вобщем - то не интересная
темя для обсуждения.

Насколько безопасен способ входа на сайт по коду из email?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт