Questa è un'idea ragionevole. Quasi tutte le password possono essere ripristinate tramite e-mail e molti utenti di molti siti Web lo fanno spesso, spesso ogni volta o quasi ogni volta che accedono (se si tratta di un sito che non viene utilizzato molto frequentemente). Se un utente malintenzionato ha il controllo della tua posta elettronica, gli unici vantaggi dell'utilizzo delle password piuttosto che di questo metodo sono:

• Potrebbe essere necessario un po 'più di tempo per reimpostare le password piuttosto che per ottenere i token di accesso.
• Sicurezza attraverso l'oscurità - potrebbe essere meno ovvio da quali siti recuperare la password. Potresti non avere alcuna vecchia email di reimpostazione della password, ma probabilmente avrai molti vecchi token di accesso.

Per tutto ciò che non è abbastanza importante da richiedere l'autenticazione a due fattori al reset della password, questa è probabilmente una buona idea. Aggiunge anche un po 'di sicurezza, rispetto alla reimpostazione della password ogni volta che si utilizza il sito - elimina la possibilità di indovinare la password o la bruteforcing e il problema di scegliere le password delle stringhe.

Un problema è probabilmente anche se ci sono molti forum, ecc. che ci colleghiamo molto di rado, molti di questi siti web credono o sperano che li useremo sempre - nessun sito web vuole pensare di essere l'unico non usiamo molto.

Modifica

Sembra che alcuni intervistati l'abbiano concepito diversamente da come sono. Penso che l'OP significhi che il link nell'e-mail funzionerebbe solo una volta, portandoti in una pagina in cui sei considerato connesso, e il tuo browser può salvare i cookie a tale effetto che durano per un mese. Pertanto le vecchie e-mail di accesso salvate nel client non sono di alcuna utilità per un utente malintenzionato, così come non possono utilizzare le vecchie e-mail di reimpostazione della password per reimpostare la password. Se esegui l'accesso su un dispositivo diverso, devi richiedere nuovamente un'e-mail di accesso, che consente di accedere all'istanza del browser.

Funzionerebbe. Ma sarebbe piuttosto aggravante per chiunque abbia impostato il graylisting sul proprio server di posta, il che ritarderebbe la posta per più di 15 minuti. E certamente non vorrai inviare un link di login non criptato per un sito che ha scopi di commercio elettronico o memorizza informazioni personali.

Un approccio migliore potrebbe essere quello di utilizzare Accesso social e consentire alle persone di registrarsi e accedere con i loro account Facebook, Google, Yahoo o altri social network. Non vorrei mai richiedere l'uso di questo, ma come opzione rimuove i problemi relativi alle password e agli ID utente dimenticati.

Credo che uno svantaggio di questo approccio sarebbe che l'utente finale dovrebbe accedere al proprio account di posta elettronica ogni volta che desidera accedere alla propria applicazione. L'impostazione di una variabile di sessione di un mese potrebbe anche essere un punto controverso se l'utente si trova su un computer pubblico o su un computer condiviso in cui due o più utenti dell'applicazione accedono al sito. Potrebbe richiedere che l'utente finale debba controllare frequentemente l'email se più account accedono all'app sullo stesso computer. Mi sembra sempre che le e-mail siano una buona idea per le credenziali di accesso per due ragioni.

1) Puoi richiedere che l'e-mail sia univoca per ridurre gli alias duplicati e l'utente finale in genere ricorda che il suo indirizzo email è molto più semplice di un ID utente creato esclusivamente per la tua applicazione.

2) Costringe l'utente finale a inserire un indirizzo e-mail valido invece di spazzatura per accedere al proprio account. Se utilizzano un indirizzo e-mail usa e getta per verificare il proprio account, non potranno più accedervi se hanno bisogno di apportare modifiche al proprio account in futuro, quindi saranno riluttanti a inserire un indirizzo indesiderato se l'applicazione è utile .

Gli svantaggi sono evidenti. È fastidioso dover inserire il tuo indirizzo email (soprattutto se è sul lato più lungo) per la verifica, ma ho sempre pensato che se l'utente finale avesse un tempo più semplice per richiamare un indirizzo email per un parametro di accesso invece di un ID utente stabilito appositamente per un'applicazione / sito. Spero che questo ti aiuti. Solo i miei due centesimi!

In primo luogo, la tua email non è sicura. Una volta che un ladro sa che un certo sito web sta inviando i link di accesso, inizieranno a prestare maggiore attenzione.

Indipendentemente dal formato, questo non è diverso dal salvare il nome utente e la password non protetti sul server. Che si tratti di un nome utente & combinazione di password o una lunga e complessa stringa di collegamento inviata al tuo indirizzo di posta elettronica, non è una buona idea memorizzare una parte di questo sul lato server in testo semplice (cioè non salting & hashing ).

Non ti senti più sicuro quando il provider non ha nemmeno accesso alla tua password o al tipo di collegamento di accesso?

Modifica: Credo che la vera domanda è perché non tenere le sessioni per un mese.