最近我在一个电商网站上注册了账号。像往常一样,我输入了姓名和邮箱,然后他们让我查看收件箱等等——一切都很正常。然而,当我再次登录时,却找不到设置密码的地方。我之前已经用 1Password 生成并保存了一个全新的、超级复杂的 32 位密码……但一直没机会。
然而,我看到的却是这样的:
如果您选择“魔法链接”,您会收到一封“点击此处登录”的电子邮件;如果您选择“一次性密码”,您会收到一个需要输入的6位验证码。无论哪种方式,之后您都已登录,这是仅有的两种登录方式。
每次我回到网站,无论使用什么浏览器或设备,要么我完成了电子邮件/点击操作,要么我已经登录了,因为我已经有了 cookie。
一方面,每次都要打开邮箱再回来确实很麻烦。我更希望收到短信验证码,因为 Safari 会在收到验证码时自动粘贴进去(这是 Mac 生态系统的一个很棒的功能)。而且,我已经有一个与浏览器集成度很高的密码管理器,所以密码管理对我来说可能反而更方便。
然而,并非每个人都这么想,我突然意识到,这个系统实际上是一个双赢的局面,但也有一个小小的不足之处。
对用户而言,无需密码,这对很多人来说是一大优势。想想你通常的使用习惯:登录一次后,就可以长时间浏览网站而无需再次登录。过一段时间或切换到其他设备时,你又需要重新登录,之后又会有很长一段时间保持登录状态。你迟早都得重复登录,而这种方式的好处在于,你只需付出一定的代价,却无需管理任何密码。
对网站而言,还有更大的好处。网站仍然可能被黑客攻击——有人可能入侵、窃取内容、获取用户列表等等。但你避免了因用户重复使用其他被黑客攻击网站的密码而导致账户被盗用的麻烦。此外,即使网站被黑客攻击,攻击者可能会给你带来很多清理工作,但你无需挨个联系所有用户并敦促他们更改密码。
需要注意的是,电子邮件本身并未加密。然而,在当今时代,电子邮件在连接到邮件服务器(例如本例中的 Postmark)时就已经加密,并且在传输过程中,直到到达我的邮件服务提供商(Gmail)之前,都会一直处于加密状态。邮件在 Google 服务器上时并未加密,但在 Google 和我的设备之间传输时,邮件就已经加密了。
该网站使用的是Stytch ,这是一家为此类应用开发优秀 SDK 的公司,可以处理一些工作(例如,实际发送链接/代码),但任何人都可以很容易地自己开发解决方案。
你觉得这个怎么样?安全吗?方便吗?是未来的发展趋势吗?请在下方评论区告诉我们你的想法!
