電子郵件，僅作爲身份驗證

Question

怎麼樣只用電子郵件地址（用戶名沒有，沒有密碼）進行身份驗證作爲一種窮人的OpenID的？

註冊過程僅需要用戶的電子郵件，並會發送與隨機數的鏈接登錄，就像許多服務通常用於恢復密碼/電子郵件驗證做。驗證了隨機數後，該服務將像往常一樣在瀏覽器中設置一個（永久）cookie並將其用作標識。如果用戶希望使用另一臺機器/瀏覽器，則必須發送另一條消息。

我從來沒有見過一個網站做類似的東西。你對這個計劃有什麼看法？是否有任何明顯的安全漏洞，我沒有看到（考慮到通常的東西，比如保護cookie爲僅限https，正確完成）？現在通過垃圾郵件過濾器很難獲得這種電子郵件嗎？你覺得用戶很難習慣嗎？你看到任何可用性問題？

Answer 1

這將是不安全的。默認情況下，電子郵件以明文形式發送，並且您不能保證它們將以加密方式發送（用戶的郵件服務器可能不支持TLS）。此外，還有一些邊緣情況：電子郵件收件箱可能被多人訪問;一個電子郵件地址可能會在將來被不同的人或人所擁有，特別是在工作電子郵件地址的情況下。是的，有時候您希望帳戶由您的電子郵件地址的繼承人繼承，但有時您不會。

然而，有一個「重設密碼」功能，並且不需要比你能力之外的任何其他身份驗證來閱讀電子郵件，使用該功能的網站，也一樣沒有安全感！他們只有看起來更安全。