仅使用电子邮件作为身份验证

Question

作为一种穷人的 OpenID，仅使用电子邮件地址（无用户名、无密码）进行身份验证怎么样？

注册过程只需要用户的电子邮件，并向其发送一个带有随机随机数的链接用于登录，就像许多服务通常用于密码恢复/电子邮件验证一样。验证随机数后，服务将照常在浏览器中设置一个（永久）cookie 并将其用作标识。如果用户希望使用另一台机器/浏览器，则必须发送另一条消息。

我从来没有见过一个网站做这样的事情。您对这个方案有何看法？是否有任何我没有看到的明显的安全漏洞（考虑到通常的事情，例如保护 cookie 仅限 https，已正确完成）？如今，通过垃圾邮件过滤器获取此类电子邮件是否困难？您认为用户会很难习惯吗？您发现任何可用性问题吗？

Answer 1

这会是不安全的。电子邮件默认以明文形式发送，您不能保证它们会被加密发送（用户的邮件服务器可能不支持 TLS）。此外，还存在一些边缘情况：电子邮件收件箱可能被多个人访问；电子邮件地址将来可能会由不同的人或多人拥有，尤其是工作电子邮件地址。是的，有时您希望帐户由您的电子邮件地址的继承人继承，但有时您不这样做。

然而，具有“重置密码”功能并且除了您能够阅读电子邮件和使用该功能之外不需要任何其他身份验证的网站同样不安全！它们只是看起来更安全。