Para considerar realmente las ramificaciones de esto, deberá considerar la adopción y difusión de dicha tecnología antes de determinar cuánto aumentará o disminuirá la vulnerabilidad. En este momento, lo que hace es enviar un mensaje de correo electrónico a la dirección de correo electrónico registrada de la cuenta (o, en muchos casos, la dirección de correo electrónico es el nombre de la cuenta ... que es otro tema interesante por completo). ..) y el usuario utiliza el enlace de autenticación de una sola vez para obtener acceso al recurso.
Algunos problemas que puedo ver:
Las personas utilizarán la misma dirección de correo electrónico para su autenticación.
En este momento, parece conveniente. Es simple, comprensible, fácil y puede reducir la carga de su contraseña. Sin embargo, ¿con qué frecuencia las personas van a crear otra dirección de correo electrónico? Casi nunca.
La adopción generalizada cambia la responsabilidad
Esto es algo realmente obsceno, en mi opinión. Entonces, envía un mensaje a una cuenta de correo electrónico que no puede usar la autenticación basada en correo electrónico (o, si lo hace, tiene que terminar en algún lugar donde exista una forma alternativa de autenticación) y obliga al proveedor de correo electrónico a llevar la La carga de autenticar a tus usuarios por ti. Brillante. Simplemente hagamos que los (competidores) lleven las bases de datos de contraseñas con hash y sal y usemos sus bases de datos para autenticar a nuestros usuarios. ¿Aún no necesitas una contraseña para acceder al recurso? Sí. Tiene que terminar en alguna parte.
No me gusta. En absoluto.
Va a ser menos seguro ya que gana adopción porque enfoca el punto de falla. Incluso puede ser menos seguro ahora, porque tiene todos sus huevos en una canasta y ni siquiera tiene el beneficio de daños compartimentados. No es bueno.