Magic/Tragic Email Links: Đừng biến chúng thành lựa chọn duy nhất

 (recyclebin.zip)
2 điểm bởi GN⁺ 2025-01-08 | 1 bình luận | Chia sẻ qua WhatsApp

Magic/Tragic Email Links: Đừng biến chúng thành lựa chọn duy nhất

  • Ý nghĩa của Magic Links: Trước đây thuật ngữ này từng ám chỉ một thiết bị hỗ trợ cá nhân (PDA) tầm nhìn tương lai, nhưng hiện nay, các công ty như Auth0 dùng nó để chỉ tính năng hơi như phép thuật cho phép nhúng liên kết đăng nhập trong email.
  • Ưu điểm của Magic Links: khó bị lừa phishing hơn mật khẩu, ngăn chặn việc rò rỉ mật khẩu và bảo vệ website khỏi việc người dùng tái sử dụng mật khẩu đã từng bị lộ.
  • Các vấn đề:
    • Sử dụng đa thiết bị: Có thể gây bất tiện cho người dùng có nhiều máy tính. Chẳng hạn, máy tính chơi game hoặc laptop công việc có thể không có email được thiết lập.
    • Vấn đề tốc độ: Độ trễ có thể từ 2 giây đến vài phút do sự chậm của SMTP và việc chuyển liên kết sang đúng trình duyệt.
    • Không tương thích di động: Gây cản trở khi dùng trình duyệt trong ứng dụng, đặc biệt là trong các ứng dụng đọc RSS.
    • Vấn đề bảo mật: Khuyến khích người dùng truy cập email cá nhân trên thiết bị công việc không phải là cách làm an toàn.
  • Đề xuất thay thế: Mặc dù cách nhập OTP qua email hoặc SMS có phần phiền phức, nhưng nó cho phép đăng nhập dễ dàng ngay cả khi khó sao chép và dán từ trình đọc email sang trình duyệt.
  • Người dùng kỹ thuật và nhạy cảm với quyền riêng tư: Nếu bạn chọn dùng Magic Links làm mặc định, hãy cân nhắc ít nhất việc cung cấp một phương án mạnh hơn như Passkey.
  • Tài liệu tham khảo thêm: Bài viết của Ricky Mondello giải thích cách Passkey có thể giải quyết các vấn đề của Magic Links; đáng để đọc.

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-01-08
Bình luận trên Hacker News

  • Khi phát triển ứng dụng, vấn đề của magic link là cần có mã đăng nhập thay thế để vẫn có thể đăng nhập trên thiết bị khó truy cập email

    • Cần dự phòng trường hợp ứng dụng email tự động mở liên kết để tạo ảnh xem trước
    • Cần đảm bảo tương thích với các ứng dụng email dùng trình duyệt trong ứng dụng thay vì trình duyệt web mà người dùng ưa thích

  • Việc dùng magic link của Mercury gây bất tiện nên đang nghĩ chuyển sang ngân hàng khác

    • Rất phiền vì mỗi lần địa chỉ IP thay đổi lại yêu cầu xác thực bổ sung
    • Việc sao chép và dán liên kết dài rất bất tiện vì đọc email và duyệt web trên những máy khác nhau

  • Không thích magic link vì nhấp vào liên kết email dễ gợi cảm giác lừa đảo

  • Xem bài viết trên blog về cách dùng cùng nhau magic link và passkey (phản hồi cho bài đăng của 404) là có ích

  • Bối rối vì passkey không phải là lựa chọn thay thế magic link

    • Passkey chỉ là một lựa chọn có thể tạo sau khi đã đăng nhập bằng cách khác
    • Nó không giải quyết được vấn đề xác thực ban đầu

  • Cốt lõi của magic link là hệ thống bảo mật không mạnh hơn cơ chế khôi phục

    • Việc dùng cơ chế khôi phục làm cơ chế xác thực chính đã phơi bày trung thực mức độ an toàn thực sự

  • Theo mình, cách tốt nhất là vẫn phải nhấp liên kết trên thiết bị nhận email, nhưng hoàn tất quá trình đăng nhập mà không cần truyền session

  • Cho rằng magic link làm việc chia sẻ tài khoản trở nên khó khăn, nên nghi ngờ đây là lợi ích ẩn giấu cho doanh nghiệp

    • Bởi vì điều đó khiến người dùng ngại chia sẻ mật khẩu email

  • Tôi nghĩ giao diện chuyển tiếp có điều kiện sử dụng mã OTP qua email và passkey là lựa chọn tốt hơn

    • Trên thiết bị cũ, có thể đăng nhập tức thì bằng passkey
    • Trên thiết bị mới, sau khi nhập mã email thì nhắc cài đặt passkey

  • Rất ngu ngốc khi magic link này rất tệ, và bực bội với các quyết định kỹ thuật của Internet

  • Ưa thích tùy chọn đăng nhập bằng mã QR của Kagi

    • Quét mã QR bằng thiết bị đã đăng nhập sẵn để đăng nhập chỉ với một nút
    • Lần đăng nhập đầu tiên thì cần một cách khác