¿Inicios de sesión sin contraseña usando solo su dirección de correo electrónico?

9

El estado de los inicios de sesión es horrendo. Con cada sitio teniendo sus propias reglas para las contraseñas, puede ser muy difícil recordar qué variación usó en un sitio determinado. Los logins son puro dolor. Una cosa que me encanta de Craigslist es que eliminó todos los inicios de sesión. Sé que este diseño no se adapta a todos los sitios, pero hay algo en su diseño que invita a repetirse.

OpenID es excelente en los sitios que lo han adoptado, pero aún no es estándar.

¿Sería factible / sabio utilizar una dirección de correo electrónico como inicio de sesión y no proporcionar una contraseña? El sitio enviaría una clave de corto plazo directamente a su dirección de correo electrónico. Al hacer clic en el enlace, ya está listo. Cuando haya terminado, se "desconectará" y su clave finalizará.

He jugado con esta idea antes. ¿Qué preocupaciones (es decir, los spammers, bots, etc.) harían esto poco práctico o inseguro y podrían superarse?

    
pregunta Mario 07.09.2012 - 00:44
fuente

4 respuestas

7

Esta idea se ha cubierto en las siguientes preguntas:

  • Si incluyo un servicio de Olvidé mi contraseña, ¿para qué utilizar una contraseña? explica Enviando un enlace por correo electrónico, como la forma de autenticarte. Describe algunas mejoras, como evitar que el usuario espere a que llegue el correo electrónico y hacer clic en un enlace cada vez que quiera iniciar sesión. También analiza algunos desafíos, como la confianza en el proveedor de correo electrónico del usuario y el correo electrónico del usuario. contraseña.

  • Cómo implementar la autenticación sin contraseña en un sitio web discute, de manera más general, formas de autenticar al usuario sin utilizar una contraseña. Discute el uso de cookies persistentes para recordar al usuario, por lo que solo tienen que iniciar sesión una vez en cualquier computadora en particular, y luego no es necesario ingresar una contraseña nuevamente en las visitas posteriores. Esta es una excelente manera de autenticar a los usuarios y reducir la necesidad de escribir contraseñas. También se puede combinar muy bien con la autenticación basada en correo electrónico, como se explica en las respuestas allí.

Entonces, lea las respuestas en esas preguntas. Creo que encontrarás que ya cubren el tipo de terreno en el que estabas pensando. ¡Disfruta!

    
respondido por el D.W. 08.09.2012 - 07:43
fuente
3

Idea interesante, solo algunas preocupaciones inmediatas ...

  • Los correos electrónicos que se retrasan o no pueden acceder a su correo electrónico (en una máquina pública) podrían impedir que el usuario inicie sesión.

  • Los correos electrónicos no son seguros. Se transmiten en texto plano. Las contraseñas temporales que se envían por correo electrónico generalmente solo se usan para los registros por primera vez, que luego deben cambiarse inmediatamente al iniciar sesión por primera vez. Basar todo su sistema de autenticación en este método realmente lo abre para ser hackeado ... cada inicio de sesión se envía por correo electrónico.

  • No creo que realmente pueda almacenar información personal con la cuenta, que presumiblemente se asociaría con la dirección de correo electrónico (la ID).

  • "Hhmmm, ¿qué dirección de correo electrónico usé con este sitio?" - Volviendo al problema de recordar qué contraseña. Aunque esto podría no ser un problema si se trata de un inicio de sesión casual y no está almacenando ninguna información (personal) en la cuenta (como se mencionó anteriormente). Aunque, presumiblemente, desearía autenticar devolver a los visitantes de alguna manera?

respondido por el MrWhite 07.09.2012 - 11:33
fuente
1

Con cada sitio que tiene sus propias reglas para las contraseñas, puede ser muy difícil recordar qué variación usaste en cualquier sitio.

No estoy de acuerdo. Es importante elegir una contraseña segura para comenzar, y debería funcionar en cualquier sitio. También es una mala idea en general usar la misma contraseña y correo electrónico en varios sitios. (Por experiencia, busqué en Google mi dirección de correo electrónico una vez y descubrí que alguien publicó los inicios de sesión para 10 mil personas de un sitio que visité. De hecho, estaba usando la misma contraseña en otros dos sitios en ese momento. Afortunadamente, no se introdujo ninguna.)

OpenID es excelente en los sitios que lo han adoptado, pero aún no es estándar.

Para eso es el tiempo. Más sitios adoptarán algún tipo de sistema similar a este. Especialmente con las tecnologías web en rápida evolución y las redes sociales, se convertirá en un estándar. Solo espera.

¿Qué inquietudes (es decir, spammers, bots, etc.) harían esto poco práctico o inseguro?

Realmente necesitarías implementar algún tipo de demora, quizás un segundo, entre cuando alguien puede iniciar sesión (evitar el uso de fuerza bruta).

¿Es factible?

Cualquier cosa es factible. Tendría que codificar esto usted mismo, como cualquier formulario de inicio de sesión normal.

En general, hay muchas otras razones para NO tener autenticación solo por correo electrónico.

  1. Las direcciones de correo electrónico son públicas. ¿No podría utilizar la dirección de correo electrónico de su amigo en el sitio y esperar que él también sea miembro? Es casi como dejar una caja de explosivos en el centro de tu ciudad en un banco.
  2. ¿Qué sucede si alguien cambia / cancela su dirección de correo electrónico? ¿Necesitan registrar una nueva cuenta?
  3. Los hashes y sales de contraseñas se almacenan para la seguridad del usuario (¿el cifrado de los datos con sal?) El uso de una dirección de correo electrónico es como dejar las llaves en su encendido con las ventanas cerradas.

Por favor, no hagas de Internet un lugar más peligroso.

    
respondido por el ionFish 07.09.2012 - 00:54
fuente
0

En lugar de usar LastPass y servicios similares, esto en realidad suena como una buena idea, aunque me uniría la generación de una contraseña segura ( para futuros inicios de sesión) en el correo electrónico enviado al usuario como parte del proceso posterior al registro, aunque solo sea para reducir la barrera de entrada. Como mínimo, podrá probar que el usuario no es un bot (caducan / eliminan las cuentas que no hayan verificado mediante el enlace para hacerlo en su correo electrónico después de 48 horas o menos) y transfieran con mayor precisión. Después de la moderación a un humano (s).

En resumen, creo que es definitivamente factible, aunque podría suponer una carga adicional para la validación y moderación posterior al registro.

    
respondido por el stealthyninja 07.09.2012 - 01:27
fuente

Lea otras preguntas en las etiquetas