¿Es segura la autenticación sin contraseña Auth0?

3

Veo esto anunciado Publicación media sobre la construcción una aplicación React con autenticación sin contraseña a través de Auth0.

desde el enlace, aquí está la explicación de cómo funciona:

  

La autenticación sin contraseña, como puede implicar el nombre, es una   Sistema de autenticación donde el usuario no ingresa una contraseña.   En su lugar, proporcionan un identificador como una dirección de correo electrónico o   número de teléfono, y el sistema de autenticación envía una vez   Código de acceso o enlace a este identificador que el usuario debe proporcionar o   Haga clic para autenticar con éxito. El código de acceso o enlace está activo para   un tiempo limitado, a menudo alrededor de cinco minutos. Cada solicitud de inicio de sesión   genera un nuevo código de acceso o enlace e invalida cualquier anterior   Códigos de acceso o enlaces. En cierto sentido, la autenticación sin contraseña también   proporciona autenticación de dos factores fuera de la caja, ya que un usuario debe   tenga acceso a la cuenta de correo electrónico o al número de teléfono que proporcionan.

También afirman que las contraseñas son obsoletas e inseguras porque las personas eligen contraseñas débiles y las reutilizan.

Pero aquí uno pregunta ¿Quién vigila a los vigilantes ?

Dado que su cuenta de correo electrónico está protegida por los medios obsoletos y débiles de una contraseña, la contraseña o el enlace no son seguros en absoluto, ¿verdad? Alguien solo necesita descifrar su correo electrónico y obtener acceso a su aplicación con autenticación Auth0.

¿Estoy equivocado?

    
pregunta Mario Trucco 18.07.2016 - 23:15
fuente

1 respuesta

2

Fundamentalmente, este tipo de autenticación es tan fuerte como la cuenta de correo electrónico que usa el usuario. Sin embargo, las mismas críticas se pueden imponer en cualquier modelo de autenticación relegado, incluido OpenID o OAUTH. Sin embargo, creo que esto aún vale la pena: al aprovechar los servicios existentes que los usuarios valoran, significa que no están tentados a usar contraseñas desechadas o repetidas / reutilizadas en su sitio. Reforzarás el valor de esas fuentes centrales de autenticación (en este caso, el correo electrónico) y, con suerte, eso llevará a que los usuarios utilicen una autenticación sólida en esos casos.

Además, la autenticación es difícil de hacer bien, por lo que muchos sitios más pequeños (e incluso enormes) la estropean. Pasar eso por alto, ya sea a través de este Auth0 o a través de OAuth u OpenID más tradicional, es una gran idea. No veo nada fundamentalmente incorrecto con el enfoque del token enviado por correo electrónico.

    
respondido por el crovers 19.07.2016 - 20:21
fuente

Lea otras preguntas en las etiquetas