Algunos sitios web (como medium.com ) ofrecen una experiencia de usuario de inicio de sesión sin contraseña: cuando desee iniciar sesión, 1. simplemente ingrese su correo electrónico, luego 2. se envía un enlace de token de inicio de sesión por correo electrónico, luego 3. hace clic en el enlace y se registra. Contraseña nunca requerida.
¿Qué tan seguro es este esquema de inicio de sesión?
-
Esquema tradicional (inicio de sesión + contraseña): ¿es posible iniciar sesión en
example.com
?A Password ok + email access ok => [login OK] B Password ok + email access lost (e.g. mail account hacked) => [login OK] + tip: quickly change email in "Settings" C Password lost + email access ok => "Forgot my password" system => [login OK] D Password lost + email access lost => [login not OK]
-
Esquema sin contraseña: ¿es posible iniciar sesión en
example.com
?E email acccess ok => [login OK] F email acccess lost (e.g. mail account hacked) => [login not OK]
Parece que el "esquema sin contraseña" es más vulnerable a perder la cuenta de correo electrónico.
¿Es esto realmente una debilidad? (¿O tal vez hay una solución que no he visto?)
¿Hay alguna manera de mejorar el esquema de inicio de sesión sin contraseña?
PS: No es un dupe de esto pregunta pero no aborda la pregunta de qué sucede cuando se pierde la cuenta de correo electrónico, etc.