ลิงก์อีเมล Magic/Tragic: อย่าทำให้เป็นตัวเลือกเดียว

 (recyclebin.zip)
2 คะแนน โดย GN⁺ 2025-01-08 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

ลิงก์อีเมล Magic/Tragic: อย่าทำให้เป็นตัวเลือกเดียว

  • ความหมายของ Magic Links: ในอดีตคำนี้เคยหมายถึง Personal Digital Assistant (PDA) ในแนวคิดอนาคต แต่ปัจจุบันหมายถึงความสามารถแบบคล้ายเวทมนตร์ที่บริษัทอย่าง Auth0 ใช้โดยใส่ลิงก์เข้าสู่การล็อกอินผ่านอีเมล
  • ข้อดีของ Magic Links: แทนการใช้รหัสผ่าน ซึ่งทำให้การฟิชชิงทำได้ยากขึ้น ป้องกันการรั่วไหลของรหัสผ่าน และปกป้องไซต์จากการที่ผู้ใช้ใช้รหัสผ่านที่เคยรั่วมาก่อนอีกครั้ง
  • ปัญหา:
    • การใช้หลายอุปกรณ์: ทำให้ไม่สะดวกสำหรับผู้ใช้ที่ใช้หลายเครื่อง เช่น คอมพิวเตอร์เกมหรือแล็ปท็อปงานที่อาจไม่ได้ตั้งค่าอีเมลไว้
    • ความเร็ว: ความล่าช้าในการส่ง SMTP และกระบวนการดึงลิงก์ไปยังเบราว์เซอร์ที่ถูกต้องอาจใช้เวลาตั้งแต่ 2 วินาทีถึงหลายนาที
    • ไม่รองรับมือถือ: ขัดขวางการใช้เว็บเบราว์เซอร์ในแอป ทำให้เกิดความไม่สะดวก โดยเฉพาะในแอป RSS reader
    • ความปลอดภัย: การกระตุ้นให้เข้าถึงอีเมลส่วนตัวบนอุปกรณ์ทำงานไม่เหมาะสมกับความปลอดภัย
  • ข้อเสนอแนะทางเลือก: การส่ง OTP ทางอีเมลหรือ SMS เพื่อให้ผู้ใช้กรอกลงฟอร์มอาจไม่สะดวก แต่จะช่วยให้ล็อกอินได้ง่ายขึ้นในกรณีที่คัดลอก/วางจากอีเมลไปยังเบราว์เซอร์ทำได้ยาก
  • ผู้ใช้ที่ใส่ใจด้านเทคนิคและความเป็นส่วนตัว: หากใช้ Magic Links เป็นตัวเลือกหลัก ควรพิจารณาอย่างน้อยการมีทางเลือกที่แข็งแกร่งกว่า เช่น Passkey
  • ข้อมูลอ้างอิงเพิ่มเติม: บทความของ Ricky Mondello อธิบายว่าปัญหาของ Magic Links สามารถแก้ได้อย่างไรผ่าน Passkeys โดยแนะนำให้ลองอ่าน

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-01-08
ความคิดเห็นจาก Hacker News

  • เมื่อพัฒนาแอป มีปัญหาจากการใช้ Magic Link ควรรวมรหัสเข้าสู่ระบบทางเลือกไว้เพื่อให้ล็อกอินได้บนอุปกรณ์ที่เข้าถึงอีเมลได้ยาก

    • ต้องคำนึงถึงกรณีที่ไคลเอนต์อีเมลอาจเปิดลิงก์อัตโนมัติเพื่อสร้างสกรีนช็อตตัวอย่าง
    • ต้องรองรับความเข้ากันได้กับไคลเอนต์อีเมลที่ใช้เบราว์เซอร์ในแอปแทนที่จะเป็นเบราว์เซอร์ที่ผู้ใช้ชอบ

  • การใช้ Magic Link ของ Mercury ทำให้ไม่สะดวก จึงคิดว่าควรย้ายไปใช้บริการอื่น

    • การขอการยืนยันเพิ่มทุกครั้งที่ IP เปลี่ยนเป็นเรื่องรำคาญ
    • ต้องคัดลอกและวางลิงก์ยาวที่ยาวเกินไปเพราะทำการใช้อีเมลและท่องเว็บในคอมพิวเตอร์คนละเครื่อง

  • การคลิกลิงก์อีเมลทำให้นึกถึงการหลอกลวง (phishing) จึงไม่ชอบ Magic Link

  • คิดว่าโพสต์บนบล็อกที่อธิบายวิธีใช้ Magic Link กับ Passkey ร่วมกันเพื่อตอบสนองต่อบทความของ 404 เป็นข้อมูลที่มีประโยชน์

  • สับสนกับความเข้าใจที่ว่า Passkey ไม่ได้เป็นทางเลือกของ Magic Link

    • Passkey ถูกนำเสนอเป็นตัวเลือกที่สามารถสร้างได้หลังจากล็อกอินด้วยวิธีอื่นแล้ว
    • ไม่สามารถแก้ปัญหาการยืนยันตัวตนรอบแรกได้

  • แก่นของ Magic Link คือระบบรักษาความปลอดภัยไม่แข็งแกร่งกว่ากลไกการกู้คืน

    • การใช้กลไกการกู้คืนเป็นวิธีการยืนยันตัวตนหลักเผยให้เห็นสภาพความปลอดภัยที่แท้จริง

  • คิดว่าดีที่สุดคือให้คลิกลิงก์บนอุปกรณ์ที่ได้รับอีเมล แล้วจบขั้นตอนการล็อกอินได้โดยไม่ต้องส่งเซสชัน

  • สงสัยว่ามีผลประโยชน์แอบแฝงขององค์กรจากการที่ Magic Link ทำให้การแชร์บัญชีทำได้ยาก

    • เพราะไม่อยากแชร์รหัสผ่านอีเมล

  • น่าจะเป็นทางเลือกที่ดีขึ้นถ้าใช้ UI แบบมีเงื่อนไขสำหรับรหัส OTP ทางอีเมลพร้อม Passkey

    • บนอุปกรณ์เดิมสามารถล็อกอินได้ทันทีด้วย Passkey
    • บนอุปกรณ์ใหม่ ให้ป้อนรหัสอีเมลก่อนแล้วค่อยกระตุ้นให้ตั้งค่า Passkey

  • รู้สึกว่า Magic Link ตลกมาก และไม่พอใจการตัดสินใจทางเทคนิคของอินเทอร์เน็ต

  • ชอบตัวเลือกล็อกอินด้วย QR code ของ Kagi

    • สแกน QR code โดยใช้เครื่องที่ล็อกอินแล้วเพื่อเข้าสู่ระบบด้วยปุ่มเดียว
    • การล็อกอินครั้งแรกยังต้องใช้วิธีอื่น