https://frasco.io/your-users-dont-need-a-password-8527a891e224

[rti7743]

メール+ロングセッション(LocalStorageでもいい)は正しいアイディアだとは思うけど、ブラウザのシークレットモードと相性がとても悪い。ログインするたびにメールが来たら大変なことに。twitterがそうなんだよな。。。

[tettekete37564]

大体手段がメールとかわろす。SMTPの仕組み知ってんのかこいつ。暗号化されてない経路でセッションジャックとか余裕だろ。トークンオンリーだと ハッシュ値予測とかの攻撃もしやすくなんね？メールで秘密鍵くるような

[k12u]

Sketchのライセンス管理はもうこうなってるね。アクセス頻度が低い(パスワードを忘れられる前提の)サイトだとむしろこっちの方がトータルコスト低そう

[peperon_brain]

若者「メールなんて使ってない。Webサービス？”アプリ”のこと？。パスワードは…最初に決めるのとかあったかも。でも最初以外入れた記憶ない」

[motchang]

メールは到達させるの大変だからなあ

[xlc]

パスワード方式の利点はログアウトできること、つまりパソコンを共用していたことと関係があるわけだな。

[thesecret3]

いい方法だと思うけどな。MTAがどうっていうなら、既に現行パスワード変更メールを盗めるわけでセッションどころかアカウント乗っ取れてしまってる。変更不可能な生態認証は乗っ取られたとき困るだろ。

[uehaj]

良い。メールtokenは使い捨て、セッションIDはcookie保存なのでhttps保護下、毎回メールではない。長命セッションidは自動送信乱数パスワード、失効したら「パスワード忘れ再設定」フロー走るのと等価。

[xbs2r]

MTA間は暗号化されているとは限らない。ログインリンクは漏洩するものとして考える必要がある。従って可能な限り短時間で無効化される必要がある。slackのmagic linkは24時間だがこれは長すぎる

[n314]

無料でSSLを発行してくれるサイトはこの方式または証明書だったような。公開鍵＋秘密鍵＋パスフレーズの代わりの指紋認証で全て済ませられる未来は来ないものか。

[t_furu]

メール自体が信用できないシステム(届くことが保証されてない,セキュア通信じゃない)

[matsubobo]

これは個人を認証しているのではなく、メアドの到達性を認証しているだけ。メアド間違ったら他人がログイン出来ちゃう。

[tyoro1210]

パスワード捨てて二段階認証の二段目だけやれ みたいな話しか

[sylph01]

体感9割が使ってるGmailはアカウント取るとOpenID Connectで認証連携できるので、そっちでいいのでは、という思いが強い。あとSMTPにはいろいろと問題があってな…＞＜

[shag]

実質 Gmail に依存するということなんだろうけど、こういうサイトが結構あるせいで SMTP が一向に滅ばないという問題があるよね。Gmail ならエンドユーザとの google 間は secure なんだろうけどな。

[kathew]

ユーザーが踏むべきステップ数が大変に多くなるけど、セキュリティだけ見るならばとても良い方法

[gimutokenri]

2段階認証の2段目だけで良い。

[mumincacao]

けーたいの簡単ろぐいんが流行ってた頃に代替案としてめーるでわんたいむ認証する機能を実装したことあるけど，けっきょくめんどいとの理由でお蔵入りになったなぁ・・・ （＝ω【みかん

[wozozo]

メアド認証

[miruto]

このSNS時代ならやはりOAuth認証でしょう！我がwebサービス「あにめも！」もパスワード設定なしでログイン可能ですし(´･∀･`)

[mojimojikun]

重箱の隅的な話かもなんだけど、そろそろe-mailは使っていないという人も考慮すると良いのではないかと思う。 それにつけてもnヶ月単位で再入力をしないパスワードなどというものは覚えられない人ばかりでありパスワー

[ragion]

だいたいはツイッターの OAuth とかでいいよな。

[Haaaa_N]

そう言えばメールアドレス確認コードを書いててこれメールアドレスの確認さえ出来ればパスワード要らなくね?とは思った

[kojiro-s]

パスワードはどうするべきか

[re_fort]

"あなたのサイトでそのアカウントを使用したいと考えているとも限りません" ここが引っかかる、OAuthに使用するアカウントなんてなんでもよいのでは？(no scopeの場合)

[nobu1989]

今、セキュアなメールシステムが必要とされている。(100週目ぐらい)

[star_123]

個人が作ってるサービスとかログイン頻度が低いものならこれでいいよな。でもメールサービスに依存しすぎだから重要度が高くてログイン頻度が高いサービスでは微妙かも。

[eidai]

セキュリティコストをメールに押しつけてるだけじゃないのかな。

[misomico]

腕に署名チップ埋め込みたい。

[qtamaki]

メールでログイン機能、昔ガラケーのサイトに付けたな

[mobius118_7]

日本だと認証メール本文と、認証メールを復号化するためのパスワードメールと、弊社からのメールは届きましたでしょうか？の確認メールで合計三通必要

[tyru]

ネット銀行のワンタイムパスワード的なやつか。でも面倒なんだよなー。ブコメでも出てるけど2段階認証+スマホアプリで、さらにアプリ開いて見てPCで入力とかじゃなくシームレスに入力できるといいんだけど。

[kazuau]

そのあなたのサービスを使おうとするユーザーはきっとTwitterかFacebookかGoogleのアカウントのどれかは持ってると思うよ。メールを日常的に使ってるユーザーより多いかも。

[galkga]

タイトル　そーなの？

[Kmusiclife]

前進していない記事。

[blueboy]

パスワード発生ソフトを使うのが一番楽。そのソフトのパスワード（例：hiroko45 ）を入力すると、複雑なパスワード（例： a8g0xtahd5h87jc76z3 ）を発生させる。間違い入力では、無出力でなく、間違いパスワードを発生させる。

[lifeisadog]

サイト固有のパスワードではなくて、スマホに個人認証機能があるので、スマホでの認証を要求する方向だろうね。2段階認証とか。最終的にはアプリ化して行く流れかな。

[cu39]

パスワードをメールに依存させる話。

[shiro-16]

メールにトークンつけた URL 送るのかな？と思ったらその通りだったけど、メールが即届くとは限らんのだよな