Magic/Tragic-E-Mail-Links: Nicht zur einzigen Option machen

 (recyclebin.zip)
2 Punkte von GN⁺ 2025-01-08 | 1 Kommentare | Auf WhatsApp teilen

Magic/Tragic-E-Mail-Links: Nicht zur einzigen Option machen

  • Bedeutung von Magic Links: Früher bezeichnete man damit ein futuristisches Konzept, heute nutzen Firmen wie Auth0 den Begriff für eine Funktion, bei der Login-Links per E-Mail verschickt werden – eine Art etwas „magische“ Funktion.
  • Vorteile von Magic Links: Sie erschweren Phishing im Vergleich zu Passwörtern, verhindern Passwortlecks und helfen zu verhindern, dass ein zuvor geleaktes Passwort erneut verwendet wird.
  • Nachteile:
    • Nutzung auf mehreren Geräten: Für Nutzer mit mehreren Computern ist es umständlich, z. B. wenn auf dem Gaming-PC oder dem Arbeits-Laptop keine E-Mail eingerichtet ist.
    • Geschwindigkeit: Durch SMTP-Verzögerungen und den Schritt, den Link in den richtigen Browser zu bringen, kann es von zwei Sekunden bis zu mehreren Minuten dauern.
    • Mobile Unverträglichkeit: In-App-Browser werden behindert, was insbesondere in RSS-Reader-Apps zu Unannehmlichkeiten führt.
    • Sicherheitsproblem: Es ist nicht ideal, Nutzer dazu zu bewegen, private E-Mail-Konten auf Dienstgeräten zu öffnen.
  • Alternative: Das Versenden eines OTP per E-Mail oder SMS zur manuellen Eingabe ist zwar umständlicher, ermöglicht aber die Anmeldung, wenn ein Kopieren-Einfügen aus dem E-Mail-Client in den Browser schwierig ist.
  • Technisch und datenschutzbewusste Nutzer: Wenn Magic Links als Standard eingesetzt werden, sollte mindestens eine starke Alternative wie Passkeys angeboten werden.
  • Zusätzliche Lektüre: Ein Beitrag von Ricky Mondello erklärt, wie Passkeys die Probleme von Magic Links lösen können; er ist lesenswert.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-01-08
Hacker News Kommentar

  • Bei der Verwendung von Magic Links in der App-Entwicklung sollte man einen alternativen Login-Code integrieren, damit man sich auch auf Geräten ohne E-Mail-Zugriff anmelden kann

    • Man sollte berücksichtigen, dass der E-Mail-Client Links automatisch öffnen kann, um Vorschaubilder zu erstellen
    • Es muss mit E-Mail-Clients kompatibel sein, die statt eines bevorzugten Browsers einen In-App-Browser verwenden

  • Der Ansatz mit Magic Links bei Mercury ist unbequem, daher überlege ich, zu einer anderen Bank zu wechseln

    • Es ist lästig, jedes Mal eine zusätzliche Authentifizierung zu verlangen, wenn sich die IP-Adresse ändert
    • Da E-Mails und Web-Browsing auf verschiedenen Computern ausgeführt werden, ist das Kopieren und Einfügen langer Links umständlich

  • Ich mag Magic Links nicht, weil das Klicken auf einen E-Mail-Link wie Phishing wirkt

  • Als Reaktion auf den 404-Post war ich der Meinung, dass ein Blogartikel zu dem Thema hilfreich ist, wie man Magic Links und Passkeys kombiniert

  • Ich bin verwirrt, dass Passkeys nicht die Alternative zu Magic Links darstellen

    • Passkeys werden als Option bereitgestellt, die nach einer Anmeldung auf einem anderen Weg eingerichtet werden kann
    • Es löst das Problem der Erstauthentifizierung nicht

  • Der Kern von Magic Links ist, dass das Sicherheitssystem nicht stärker ist als der Wiederherstellungsmechanismus

    • Wenn man den Wiederherstellungsmechanismus als primären Authentifizierungsweg nutzt, zeigt sich offen, wie sicher das System tatsächlich ist

  • Ich denke, dass es am besten ist, den Link auf dem Gerät zu klicken, auf dem die E-Mail empfangen wurde, ohne die Sitzung zu übertragen, um den Login-Prozess abzuschließen

  • Ich vermute, dass Magic Links Unternehmen einen versteckten Vorteil bringen, weil sie die Kontofreigabe erschweren

    • Weil niemand dazu neigt, ein E-Mail-Passwort zu teilen

  • Ein konditionales UI mit E-Mail-OTP-Codes und Passkeys ist meiner Meinung nach die bessere Option

    • Auf einem bestehenden Gerät ist eine sofortige Anmeldung mit Passkey möglich
    • Auf einem neuen Gerät sollte man nach Eingabe des E-Mail-Codes zur Einrichtung eines Passkeys geführt werden

  • Ich finde Magic Links total dumm und bin enttäuscht von den technischen Entscheidungen im Internet

  • Ich bevorzuge die QR-Code-Anmeldeoption von Kagi

    • Man kann einen QR-Code mit einem bereits angemeldeten Gerät scannen und sich mit nur einem Klick anmelden
    • Beim ersten Login ist eine andere Methode erforderlich