不特定多数の利用者が自由にユーザーアカウントを作れるWebサービスで、「メールアドレス認証だけ」でログインできる方式は危険でしょうか？いま一般的にはまず「パスワード認証」を備えて、さらにパスワードを忘れた時にメールアドレスに指定の鍵（短時間だけ有効な認証コードや認証URL）を送ってパスワードを再設定できる方式がメジャーなように思います。よく考えたらそれはつまりメールアドレス認証ができればそのアカウントの持ち主と判断しているので、最初からメールアドレス認証だけでログインしても同じなのでは？と思ってしまいます。しかしパスワード登録がないWebサービスは個人的には見かけたことがありません。スマホ等を利用した多要素認証でセキュリティ向上というのはひとまず置いておいて、「パスワード認証は不要で、メールアドレス認証でいいのでは？」という点が気になっています。パスワードが盗まれるリスクが１つ減るから良いのでは？とすら思ってしまうのですが・・。

不特定多数の利用者が自由にユーザーアカウントを作れるWebサービスで、「メールアドレス認証だけ」でログインできる方式は危険でしょうか？いま一般的にはまず「パスワード認証」を備えて、さらにパスワードを忘れた時にメールアドレスに指定の鍵（短時間だけ有効な認証コードや認証URL）を送ってパスワードを再設定できる方式がメジャーなように思います。よく考えたらそれはつまりメールアドレス認証ができればそのアカウントの持ち主と判断しているので、最初からメールアドレス認証だけでログインしても同じなのでは？と思ってしまいます。しかしパスワード登録がないWebサービスは個人的には見かけたことがありません。スマホ等を利用した多要素認証でセキュリティ向上というのはひとまず置いておいて、「パスワード認証は不要で、メールアドレス認証でいいのでは？」という点が気になっています。パスワードが盗まれるリスクが１つ減るから良いのでは？とすら思ってしまうのですが・・。
DRANK

パスワード登録のないWebサービスは、メジャーなところではヤフーがあります。ヤフーの場合はメールではなくSMSですが、原理的には同じことですね。また、「マジックリンク」というキーワードで検索すると、メールを使いパスワードのないログイン方法があることがわかると思います。つまり、ご認識は間違いではなく、広く使われ始めています。

ockeghem.pageful.app 2 years ago

Open page

https://ockeghem.pageful.app/post/item/doSYV4PFWNBUIl3