Хранение паролей в Google Таблицах сопряжено с рядом рисков, включая отсутствие сквозного шифрования по умолчанию, а также возможности безопасного обмена. Хотя приложение Google Таблицы использует безопасный...
Волшебная ссылка — это тип беспарольного входа, когда ссылка отправляется пользователю по электронной почте или в текстовом сообщении после того, как он ввел адрес электронной почты или имя пользователя на портале входа. Когда пользователь нажимает эту ссылку, он входит в учетную запись без необходимости вводить пароль. Этот процесс кажется «волшебным», поскольку пользователю не нужно вводить пароль, отсюда и название. Волшебные ссылки также часто используются в качестве способа многофакторной аутентификации (MFA). Однако веб-сайт или приложение, которое вы используете, должно поддерживать использование волшебных ссылок.
Читайте дальше, чтобы узнать больше о волшебных ссылках, а также о преимуществах и недостатках их использования.
Волшебные ссылки, пароли и ключи доступа: в чем разница?
Когда вместо паролей используются волшебные ссылки, пользователям не нужно ничего запоминать. Все, что им нужно знать, это имя входа в электронную почту или иметь доступ к телефону, и они смогут войти в учетную запись по волшебной ссылке. Когда пользователи входят в систему с помощью паролей, они должны вспомнить, какой пароль, ввести его, а затем им будет предоставлен доступ к учетной записи. К сожалению, процесс входа в систему с помощью паролей не всегда так прост, поскольку иногда трудно запомнить пароли для всех учетных записей.
Ключи доступа, с другой стороны, не требуют от пользователя входить в электронную почту или вводить пароль. В зависимости от того, где был создан ключ доступа, чтобы выполнить вход с его помощью, пользователь должен аутентифицировать свою личность так же, как и при входе в устройство, например с помощью ключа доступа или биометрических данных, таких как FaceID.
Безопасны ли волшебные ссылки?
При использовании волшебных ссылок в качестве метода входа невозможно гарантировать, что человек, который нажимает волшебную ссылку, является лицом, которому принадлежит учетная запись или которому разрешен доступ к ней. Это связано с тем, что волшебные ссылки можно перехватить с помощью атак с подменой SIM-карты при отправке через текстовые сообщения. Кроме того, если учетная запись электронной почты пользователя не защищена надежным паролем и многофакторной аутентификацией, злоумышленники могут легко скомпрометировать ее. После компрометации учетной записи электронной почты злоумышленники могут войти в любые другие учетные записи, в которых используются волшебные ссылки.
Как работают волшебные ссылки
Вот как работает волшебная ссылка.
- Пользователь вводит адрес электронной почты или имя пользователя на портале входа
- Сервер веб-сайта или приложения генерирует ссылку, встроенную в токен
- Сервер отправляет волшебную ссылку пользователю
- Пользователь получает электронное письмо или текстовое сообщение, содержащее волшебную ссылку
- Пользователь нажимает волшебную ссылку
- Сервер проверяет токен
- Если токен совпадает, пользователь проходит аутентификацию и ему предоставляется доступ к учетной записи
Используя волшебную ссылку, пользователь вообще не должен будет вводить пароль, что значительно упрощает процесс входа в систему.
Преимущества использования волшебных ссылок
Вот несколько преимуществ использования волшебных ссылок.
Большее удобство для пользователей
Несомненно, волшебные ссылки обеспечивают больше удобства для пользователей, чем при входе в систему с помощью имени пользователя и пароля. Это связано с тем, что пользователям часто трудно запомнить данные для входа в несколько учетных записей. Вход в учетные записи с помощью волшебных ссылок выполняется намного быстрее.
Нет необходимости в дополнительных аппаратных средствах
С помощью волшебных ссылок пользователям не нужно покупать дополнительные аппаратные средства для аутентификации. Это отличается от других методов аутентификации, таких как использование аппаратных ключей безопасности, что требует от пользователей покупки собственного физического ключа для аутентификации личности.
Снижение усталости от паролей
Усталость от паролей — это фраза, используемая для описания чувства истощения, стресса и перегрузки, которые испытывают люди из-за паролей. При большом количестве учетных записей и правил для создания надежных паролей запомнить их все самостоятельно может быть трудно. Волшебные ссылки и другие методы беспарольной аутентификации снижают усталость от паролей, устраняя необходимость вводить их при входе в учетную запись.
Недостатки использования волшебных ссылок
Вот несколько недостатков использования волшебных ссылок.
Безопасность паролей связана с электронной почтой
При использовании волшебных ссылок их безопасность связана с безопасностью учетной записи электронной почты пользователя. Если учетные данные электронной почты пользователя ненадежны и не включена многофакторная аутентификация, вероятность того, что кто-то сможет скомпрометировать учетную запись пользователя с помощью волшебной ссылки, увеличивается.
Некоторые веб-сайты и приложения, использующие волшебные ссылки, начали делать так, чтобы срок действия ссылок истекал через определенное время или после того, как пользователь нажмет ссылку, чтобы ограничить вероятность такого развития событий.
Уязвимость к атакам типа «злоумышленник в середине»
Атака типа «злоумышленник в середине» (MITM) — это когда злоумышленники могут перехватывать данные, передаваемые между двумя лицами. Уязвимость магических ссылок к атакам типа «злоумышленник в середине» заключается в том, что эти ссылки отправляются по незашифрованным каналам связи, таким как электронные письма и текстовые сообщения. Если злоумышленники смогут перехватить какую-либо из них, они могут использовать волшебную ссылку для входа в учетную запись пользователя. Атаки типа «злоумышленник в середине» чаще всего направлены на тех, кто использует общедоступные сети Wi-Fi, поскольку это может сделать любой.
Итог
Волшебные ссылки могут быть отличным способом аутентификации пользователей без необходимости вводить пароль. Однако важно понимать, что волшебные ссылки также имеют свои недостатки. Пользователи, у которых есть возможность входить в систему с помощью волшебных ссылок, должны быть уверены, что их учетная запись электронной почты защищена надежным паролем и включена многофакторная аутентификация для дополнительной защиты.
Как еще один вариант, пользователи могут проверить, доступна ли аутентификация с помощью ключа доступа для их учетных записей. Ключи доступа — это метод беспарольной аутентификации, который позволяет пользователям входить в учетные записи без необходимости вводить пароль. Все, что нужно, — это использовать биометрические данные или PIN-код устройства для аутентификации личности и автоматического входа в учетную запись.