Nella mia applicazione Spring, stavo progettando di rimuovere le password dal processo di autenticazione inviando un "magic sign-in link" all'indirizzo di posta elettronica dell'utente. Tuttavia, in questa domanda Rob Winch (responsabile di Spring Security) dice il seguente:
Be careful that you know what you are doing in terms of allowing login from a link within an email. SMTP is not a secure protocol and so it is typically bad to rely on someone having an email as a form of authentication.
È davvero così? In tal caso, in che modo l'invio di un link per la reimpostazione della password è più sicuro? Non è log-in utilizzando un collegamento magico la stessa cosa che inviare un collegamento magico per reimpostare una password?