如果只使用电子邮件地址(没有用户名,没有密码)作为一种穷人的OpenID进行身份验证呢?
注册过程只需要用户的电子邮件,并且会向其发送带有随机随机数的链接以便登录,就像许多服务通常用于密码恢复/电子邮件验证一样。在验证现时之后,服务将像往常一样在浏览器中设置(永久)cookie并将其用作标识。如果用户希望使用另一台机器/浏览器,则必须发送另一条消息。
我从来没有见过某个网站做过类似的事情。你怎么看待这个计划?是否有任何明显的安全漏洞我没有看到(考虑到通常的东西,比如保护cookie只是https,正确完成)?现在通过垃圾邮件过滤器难以获得此类电子邮件吗?你觉得用户很难习惯吗?你看到任何可用性问题吗?
答案 0 :(得分:3)
这将是不安全的。默认情况下,电子邮件以纯文本格式发送,您无法保证它们将被加密发送(用户的邮件服务器可能不支持TLS)。此外,还有一些边缘案例:电子邮件收件箱可能由多个人访问;电子邮件地址可能在将来由其他人或人员拥有,尤其是在工作电子邮件地址的情况下。是的,有时您希望帐户由您的电子邮件地址的继承者继承,但有时您不会。
但是,具有“重置密码”功能的网站除了能够阅读电子邮件以外,不需要任何其他身份验证,使用该功能也同样不安全!他们只是看起来更安全。