전자 메일 전용 인증으로

Question

가난한 사람의 OpenID로 인증하기 위해 전자 메일 주소 (사용자 이름 없음, 암호 없음) 만 사용하는 것은 어떻습니까?

가입 절차는 사용자의 이메일 만 필요하며 대부분의 서비스가 비밀번호 복구/이메일 확인을 위해 일반적으로하는 것처럼 로그인에 임의의 비표준 링크가 전송됩니다. nonce를 확인한 후, 서비스는 평소와 같이 브라우저에 (영구) 쿠키를 설정하고이를 식별 정보로 사용합니다. 사용자가 다른 컴퓨터/브라우저를 사용하고자하는 경우 다른 메시지를 보내야합니다.

그런 사이트를 본 적이 한번도 없었습니다. 이 계획에 대해 어떻게 생각하십니까? 쿠키를 https 전용으로 보호하는 것과 같이 평범한 것을 생각하면 제대로 된 보안 구멍이 있습니까? 요즘 스팸 필터를 통해 이런 종류의 이메일을 받기가 어렵습니까? 사용자가 익숙해지는 것이 어려울 것이라고 생각하십니까? 사용성 문제가 있습니까?

Answer 1

이것은 안전하지 않습니다. 전자 메일은 기본적으로 일반 텍스트로 보내 지므로 사용자가 전자 메일을 보내도록 보장 할 수는 없습니다 (사용자의 메일 서버가 TLS를 지원하지 않을 수 있음). 또한 몇 가지 단점이 있습니다. 전자 메일받은 편지함은 둘 이상의 사람이 액세스 할 수 있습니다. 이메일 주소는 다른 사람이나 앞으로의 사람들, 특히 직장 이메일 주소의 경우 소유하게 될 수 있습니다. 네, 때로는 계정이 이메일 주소의 상속인에 의해 상속되기를 원하지만 때때로 그렇지 않습니다.

그러나 "비밀번호 재설정"기능이 있고 이메일을 읽을 수있는 기능 외에 다른 인증이 필요하지 않은 사이트도 마찬가지로 안전하지 않습니다! 그들은 단지 보다 더 안전하게 보이는.