Magic/Tragicメールリンク: ユニークな選択肢にしないでください
- Magic Linksの意味: かつては未来志向のPDAを意味していたが、現在ではAuth0のような企業が、メールにログインリンクを含める、やや魔法のような機能を指す。
- Magic Linksの利点: パスワードよりもフィッシングが難しく、パスワード漏えいを防ぎ、ユーザーが過去に漏えいしたパスワードを再利用することを防いでサイトを保護する。
- 問題点:
- マルチデバイス利用: 複数のPCを使用するユーザーには不便を生じさせる。たとえば、ゲーム用PCや業務用ノートPCにメールが設定されていない場合がある。
- 速度の問題: SMTPの遅延やリンクを正しいブラウザーへ移す過程で、2秒から数分程度の遅れが発生する場合がある。
- モバイル非対応: アプリ内ブラウザーの使用を妨げ、特にRSSリーダーアプリで不便を引き起こす。
- セキュリティ上の問題: 個人メールに業務用デバイスでアクセスするようユーザーを誘導すると、セキュリティ上望ましくない。
- 代替提案: OTPをメールまたはSMSで送信して入力する方法は煩わしいが、メールクライアントからブラウザーへコピー/ペーストしにくい状況でも、簡単にログインできるようにする。
- 技術的でプライバシー保護に敏感なユーザー: Magic Linksをデフォルトで使用する場合、少なくともパスキーのような強力な代替手段を提供することを検討すべきである。
- 追加の参考資料: Ricky Mondelloの文は、パスキーがMagic Linksの問題をどのように解決できるかを説明している。読んでみることを勧める。
1件のコメント
Hacker Newsのコメント
アプリ開発時のマジックリンクの問題点として、メールにアクセスしづらい端末からでもログインできるよう、代替ログインコードを含めるべきだ
Mercuryのマジックリンクは使いにくいため、他の銀行へ切り替える予定だ
メール内のリンクをクリックする行為がフィッシングを連想させるので、マジックリンクは嫌だ
404の投稿への反応として、マジックリンクとパスキーを組み合わせて使う方法を説明したブログ記事が有益だと思う
パスキーはマジックリンクの代替ではないという点が分かりにくい
マジックリンクの本質は、セキュリティシステムがリカバリーメカニズムより強くないことだ
メールを受信したデバイスでリンクをクリックする必要はあるが、セッションを送信せずにログインフローを完了する方法が最善だと考える
マジックリンクはアカウント共有を難しくし、企業にとって見えない利益があるのではないかと疑っている
メールOTPコードとパスキーを使う条件付きのUIの方が良い選択だと思う
マジックリンクは非常に愚かで、インターネットの技術的決定に不満だ
KagiのQRコードログインオプションを好む