Login senza password usando solo il tuo indirizzo e-mail?

Questa idea è stata trattata sulle seguenti domande:

• Se includo un servizio di password dimenticata, qual è il punto di utilizzo della password? discute inviare un link via email, come modo per autenticarti. Vengono illustrati alcuni miglioramenti, ad esempio il modo in cui evitare di richiedere all'utente di attendere l'arrivo dell'email e fare clic su un collegamento ogni volta che desidera effettuare l'accesso. Vengono inoltre discusse alcune sfide, come l'affidamento al provider di posta elettronica dell'utente e l'email dell'utente password.

• Come implementare l'autenticazione senza password in un sito web discute, più in generale, modi per autenticare l'utente senza usare una password. Discute l'uso di cookie permanenti per ricordare l'utente, quindi devono solo accedere una volta su un particolare computer, e quindi non è necessario inserire nuovamente una password nelle visite successive. Questo è un ottimo modo per autenticare gli utenti e ridurre la necessità di digitare le password. Può anche essere combinato bene con l'autenticazione basata su e-mail, come descritto nelle risposte qui.

Quindi, leggi le risposte a queste domande. Penso che scoprirai che coprono già il tipo di terreno a cui stavi pensando. Buon divertimento!

Idea interessante, solo alcuni dubbi immediati ...

• Le e-mail in ritardo o che non sono in grado di accedere alla tua e-mail (su un computer pubblico) potrebbero impedire all'utente di accedere.

• Le email non sono sicure. Sono trasmessi in testo normale. Le password temporanee inviate via e-mail vengono solitamente utilizzate solo per le prime registrazioni che devono essere modificate immediatamente al primo accesso. Basare il tuo intero sistema di autenticazione su questo metodo ti apre davvero per essere hackerato ... ogni login viene inviato via email.

• Non penso che sarebbe realisticamente possibile memorizzare alcuna informazione personale con l'account, che presumibilmente sarebbe altrimenti associato all'indirizzo email (l'id).

• "Hhmmm, quale indirizzo email ho usato con questo sito?" - torna al problema di ricordare quale password. Anche se questo potrebbe non essere un problema se si tratta di un accesso casuale e non si sta memorizzando alcuna informazione (personale) nell'account (come menzionato sopra). Anche se presumibilmente vorresti autenticare i visitatori in qualche modo?

Con ogni sito che ha le proprie regole per le password, può essere molto difficile ricordare quale variazione hai usato su un determinato sito.

Non sono d'accordo. È importante scegliere una password sicura per iniziare e dovrebbe funzionare su qualsiasi sito. Anche una cattiva idea in generale di utilizzare la stessa password ed e-mail su più siti. (Dall'esperienza, ho cercato su Google il mio indirizzo email una volta e ho scoperto che qualcuno ha registrato gli accessi per 10k persone da un sito che ho visitato. In effetti stavo utilizzando la stessa password su altri due siti in quel momento.

OpenID è ottimo sui siti che lo hanno adottato, ma non è ancora standard.

Questo è il momento giusto. Altri siti adotteranno una sorta di sistema simile a questo. Soprattutto con le tecnologie web in rapida evoluzione e i social media, diventerà uno standard. Aspetta.

Ciò che preoccupa (ad esempio spammer, bot, ecc.) renderebbe questo poco pratico o pericoloso?

Avresti davvero bisogno di implementare una sorta di ritardo, forse un secondo, tra quando qualcuno può accedere (prevenire la bruteforcing).

È fattibile?

Tutto è fattibile. Dovresti codificarlo da solo, proprio come qualsiasi normale modulo di accesso.

In tutto, ci sono tanti altri motivi per NON avere l'autenticazione solo via email.

1. Gli indirizzi email sono pubblici. Non potresti usare l'indirizzo email del tuo amico sul sito e spero che anche lui sia un membro? È quasi come lasciare una scatola di esplosivi nel centro della tua città su una panchina.
2. Cosa succede se qualcuno cambia / annulla il suo indirizzo email? Devono registrare un nuovo account?
3. Gli hash e i salti della password vengono archiviati per la sicurezza dell'utente (crittografia dei dati per salt?) L'uso di un indirizzo email è come lasciare le chiavi nel blocchetto con i finestrini abbassati.

Per favore, non rendere Internet più pericoloso di un posto.

Invece di usare LastPass e servizi simili, in realtà suona come una buona idea, anche se mi piacerebbe creare una password complessa ( per futuri accessi) nell'e-mail inviata all'utente come parte del processo di post-registrazione - se solo per abbassare la barriera di accesso. Come minimo, sarai in grado di dimostrare che l'utente non è un bot (espira / rimuove gli account che non sono stati verificati tramite il link per farlo nella loro posta elettronica dopo 48 ore o meno) e trasferisce in modo più accurato moderazione in seguito a un (i) umano (i).

Quindi, in breve, penso che sia sicuramente fattibile anche se potrebbe mettere a dura prova la convalida e la moderazione dopo la registrazione.