Слышали ли вы об авторизации через email?

Question

[Hellas]

Когда пользователю не нужны пароли, а для входа нужно лишь указать свой email и перейти по ссылке в сообщении, которое на него придёт.

Какие недостатки имеет такой способ перед обычным логин/пароль?
И можно ли не опасаясь вводить его в приложение?

Answer 1

[Владимир Т.]

Такой способ ещё называют "Волшебной ссылкой". Этим способом можно войти на сайте интернет-магазина mann-ivanov-ferber.ru или medium.com, например.

Плюс такого решения — пользователю сайта не нужно придумывать и запоминать пароль. Это очень здорово ведь вопросы безопасности лежат не на вас, а на тех, кто предоставляет услуги почтового сервиса.

Минус такого решения в том, что пользователю нужно входить через почту. Но на деле для многих пользователей это менее утомительно как, например, вводить и запоминать пароль. Особенно если вы не сбрасываете сессию по таймеру, а автоматически продлеваете её TTL когда пользователь что-то делает на сайте.

Более удобным решением (для пользователей мобильных сайтов) будет разве что генерация и отправка одноразового пароля по СМС. В таком случае пользователь сразу прочитает пароль из уведомления не переключаясь ни на какие сторонние сервисы.

Comments

[Hellas]

Спасибо за интересную идею продливать сессию, когда пользователь проявляет активность на сайте.

[Александр Аксентьев]

Hellas, сессии и так по дефолту работают в таком режиме, ничего придумывать не надо.

[Philipp]

SMS это сраный кошмар, если вы хоть немного ездите по миру. Если вы делаете сервис, который работает через интернет, то все в нем должно работать через интернет.

Answer 2

[Smenov]

Для меня, как для пользователя, это все усложняет.
Я хочу войти на сайт, а не отвлекаться на вкладку с почтой. И то, если такая вкладка открыта и почта пришла сразу.

Кто сейчас не пользуется менеджерами паролей?
Между двумя сайтами с идентичным содержимым и функционалом, различающихся только системой входа, выберу классический вариант.

Comments

[alex-1917]

не вариант, если это одноразовые входы)))
например, войти на страницу, созданную под одно мероприятие (после проведения мероприятия страница удаляется) и забронировать мероприятие, возможно, оплатить его и распечатать билет. ЗАЧЕМ заходить еще раз???? и т.д.
автор вопроса, как и 80% всех авторов вопросов, не удосужился дать полную информациююю... информации дал 10%, а хочет получить 100% ответ)))

[Максим Тимофеев]

Кто сейчас не пользуется менеджерами паролей?

Я. Это же самый простой способ отдать их злоумышленнику. Собрать в одном месте. Наивно думать, что они защищены.

Для меня, как для пользователя, это все усложняет.

Согласен, не всегда это удобно. Я сторонник авторизации или с несколькими вариантами или через соц сети только, что бы 2 клика.

[Adamos]

Максим Тимофеев,

Это же самый простой способ отдать их злоумышленнику. Собрать в одном месте. Наивно думать, что они защищены.

У вас есть какие-либо пруфы о случаях кражи паролей из этого "одного места"?
Исключим всякие КиПассы и прочие сторонние приблуды. В любом современном браузере есть менеджер паролей, позволяющий хранить их, зашифровав мастер-паролем.
Кто-нибудь когда-нибудь взламывал эту систему, чтобы считать ее ненадежной?

[Максим Тимофеев]

Adamos, Естественно я не имел опыт взлома. Но в общих чертах представляю алгоритм и мне от этого не спокойно. Конечно на практике посложнее, да и менеджеры паролей разные. Вопросов нет. Но мозг взломать все равно пока что сложнее. Так что юзаю его. У меня есть 2 универсальных пароля дял всякого говна, которое не страшно потерять. И я их везде юзаю. А вот от vds, скайпа и т.д. отдельна история. Мне нравится система с подтверждением смены пароля по смс. Как в vk, wot и т.д.
Но когда ресурс цена потери аккаунта которого около 0. Просит пароль в 12 символов, да еще и с разным регистром, хочется уйти нахрен.

[Smenov]

KeePass тоже не стоит сбрасывать со счетов.
Базу с паролями хранить в одном облаке, а ключ к базе, в другом. И угнать такую базу будет невероятно сложно, теоретически, невозможно.

[Adamos]

Максим Тимофеев, Пароли для говносайтов, собственно, вовсе хранить незачем.
Но есть сервисы, где навязывают хаотичные пароли - не лезть же за ним в криптоконтейнер каждый раз?
Есть сайты, затребовавшие нетривиальный пароль, но при этом не имеющие никакой самостоятельной ценности. В общем, "случаи бывают разные", и почему не пользоваться простыми (не скомпрометированными) решениями?

[Максим Тимофеев]

Но есть сервисы, где навязывают хаотичные пароли

Посылаем таких далеко и ищем аналоги, они за.... реально

Есть сайты, затребовавшие нетривиальный пароль, но при этом не имеющие никакой самостоятельной ценности

поступаем так же

Мне кажется, что сложность пароля - выбор пользователя. Предупредить и/или предложить сложный - хороший тон. Обязывать? В чем смысл? Если я хочу простой пароль - почему я не могу его взять? Захочу - усложню. Это свобода выбора. Я думаю надо безжалостно игнорировать такие сервисы, что бы их хозяева умерли с голоду.

[Adamos]

Smenov, не пользуюсь облаками. Но подозреваю, что описываемой вами схемой будет либо весьма неудобно пользоваться, либо она будет доступна любому, кто возьмет с вашего стола ваш смартфон.
Впрочем, возможен и третий случай - когда ее надежность и удобство будут аналогичны встроенному в браузер решению. Правда, для этого случая я не вижу смысла пользоваться более сложной системой.

[Максим Тимофеев]

Smenov, а где хранить пароли от этих облаков?

[Smenov]

Adamos, пользовался сам этой схемой. Перестал, когда нужны были пароли и на смартфоне. Здесь LastPass.

Вы же не хотите сказать, что ваш смартфон сможет взять кто-то посторонний? А если и возьмет то его не остановит пин/отпечаток пальца/сканер лица.

Максим Тимофеев, в голове, обязательно 2х авторизация к облакам.

Друзья, мне кажется мы обговариваем стратегию защиты для "неуловимых Джо", которых не ломают по известным причинам их ненадобности.

[Adamos]

Smenov, насчет "неуловимых Джо" вы неправы.
TotalCommander и FileZilla хранят пароли к FTP не зашифрованными или зашифрованными тривиальным образом.
Имеем волну утечек паролей через вирусню, специально натасканную на эти цели.
Хранилище паролей в браузере существует сто лет, есть у каждого, и многие им пользуются.
Случаев утечек из этого источника я лично не знаю.
Хотя, согласитесь, это не "Джо", а вполне себе лакомый кусочек...

[Максим Тимофеев]

то его не остановит пин/отпечаток пальца/сканер лица.

мой не защищен подобными прелестями )) Но это мой частный случай, я просто им не пользуюсь (телефоном)

Друзья, мне кажется мы обговариваем стратегию защиты для "неуловимых Джо"

)))) Наверное. Специально меня ломать не будут, но вирусня может собирать пароли. А у меня от многих проектов.

[Максим Тимофеев]

Adamos,

TotalCommander и FileZilla хранят пароли к FTP не зашифрованными или зашифрованными тривиальным образом.

Нет ну это ПО точно не стоит юзать (по крайней мере пароли сохранять). Есть phpStorm, там мастер паролем защищено

[Игорь Воротнёв]

Максим Тимофеев,

Если я хочу простой пароль - почему я не могу его взять? Захочу - усложню. Это свобода выбора. Я думаю надо безжалостно игнорировать такие сервисы, что бы их хозяева умерли с голоду.

Зависит от сайта/сервиса. Если вы на нем можете соврешать какие-то действия, а страница входа открыта публично, вы же понимаете что при желании недоброжелатели могут автоматизированным перебором логинов и паролей массово уводить такие аккаунты и потом от их имени выполнять действия. И вот в зависимости от типа действий, доступных зарегистрированному пользователю, для владельца сайтов это может быть головняк еще тот.

[Максим Тимофеев]

Игорь Воротнёв, Ок, а посетитель тут при чем? Надо думать о посетителе, а не за его счет решать свои проблемы. Если речь о VK - я могу понять, но если это сервис мокапов например. Что там за проблема кроме кривомозгости?

Answer 3

[Сергей Соколов]

Такой способ исходит из предположения, что «все пользуются эл. почтой».
Так же как одноразовый пароль на смс – из того, что «все пользуются мобилкой».
Или «у всех есть аккаунт в соц. сети».

Эти гипотезы верны в большинстве случаев, но не в 100%. Если хотите удобно охватить всех, лучше предложить выбор способа авторизации.

Answer 4

[Михаил Бобков]

Вы генерируете токен для пользователя который заменяет пароль.
Ссылка на авторизацию находится у пользователя на email.

Какие недостатки имеет такой способ перед обычным логин/пароль?

По сути вы высылаете "пароль" на почту.
Недостатки такие же.

И можно ли не опасаясь вводить его в приложение?

Тут сами смотрите - ссылка для входа упрощает регистрацию.
Если это ваша цель - применяйте.

Answer 5

[Дмитрий Терещук]

Ну мне лично это не очень удобно , например с мобильнымы сетями.
Мне нужно не у вас на сайте войти в аккаунт, а войти в почту, перейти по ссылке, а в это время я и могу передумать о своих планах относительно вашего ресурса.

Answer 6

[Константин Матрохин]

Всем будет просто лень идти в почту. Идеальный вариант авторизации - вход одним кликом через соцсеть. Чем меньше кликов нужно совершить для действия, тем лучше.

Answer 7

[bro-dev]

Очевидно что нужно просто комбинировать. После регистрации 1 раз обязательно для подтверждения емайла нужно иди по ссылке, потом по желанию либо по ссылке либо вводишь пароль, который изначально генерируется и тоже на почту, потом можно менять его. У ссылки будет таймаут например месяц, после либо авторизуется через пароль либо кнопка рядом со вспомнить пароль прислать на емайл.