Links de e-mail Magic/Tragic: Não faça disso a única opção

 (recyclebin.zip)
2 pontos por GN⁺ 2025-01-08 | 1 comentários | Compartilhar no WhatsApp

Links de e-mail Magic/Tragic: Não faça disso a única opção

  • Significado de Magic Links: No passado, era associado a uma PDA de visão de futuro, mas hoje é usado por empresas como a Auth0 para se referir a uma função quase mágica de incluir links de login em e-mails.
  • Vantagens dos Magic Links: Dificulta o phishing em comparação às senhas, evita o vazamento de senhas e ajuda a proteger o site impedindo que usuários reutilizem uma senha antiga que já foi exposta.
  • Problemas:
    • Uso em múltiplos dispositivos: Pode ser inconveniente para usuários que utilizam mais de um computador. Por exemplo, o e-mail pode não estar configurado em um PC de jogos ou no notebook corporativo.
    • Velocidade: Pode haver atraso de 2 segundos a vários minutos devido à latência do SMTP e ao processo de levar o link para o navegador certo.
    • Compatibilidade com mobile: Interfere no uso de navegador embutido nos apps, causando incômodo principalmente em aplicativos leitores de RSS.
    • Questão de segurança: Não é ideal para segurança incentivar o acesso a e-mails pessoais em dispositivos corporativos.
  • Proposta alternativa: Enviar OTP por e-mail ou SMS e pedir que o usuário digite o código é menos conveniente, mas facilita o login quando é difícil copiar e colar do cliente de e-mail para o navegador.
  • Para usuários técnicos e sensíveis à privacidade: Se você usa Magic Links como padrão, considere oferecer pelo menos uma alternativa forte, como passkeys.
  • Leitura adicional: O artigo de Ricky Mondello explica como passkeys podem resolver os problemas dos Magic Links; vale a pena lê-lo.

Leituras relacionadas

1 comentários

 
GN⁺ 2025-01-08
Comentários do Hacker News

  • Ao usar magic links no desenvolvimento de apps, é importante incluir um código alternativo de login para permitir acesso em dispositivos com acesso difícil ao e-mail

    • Deve-se considerar casos em que o cliente de e-mail abre o link automaticamente para gerar uma prévia de captura de tela
    • É preciso garantir compatibilidade com clientes de e-mail que usam navegador in-app em vez do navegador preferido do usuário

  • O uso de magic links da Mercury foi incômodo a ponto de eu considerar mudar para outro banco

    • É inconveniente pedir autenticação extra toda vez que o endereço IP muda
    • Como eu faço e-mail e navegação web em computadores diferentes, copiar e colar links longos ficou cansativo

  • Não gosto de magic links porque clicar no link do e-mail me remete a phishing

  • Achei muito útil o post sobre combinar magic links com passkeys como resposta ao post do 404

  • Fiquei confuso sobre o fato de passkeys não serem uma alternativa aos magic links

    • As passkeys aparecem como uma opção oferecida apenas para ser criada depois de logar por outro método
    • Elas não resolvem o problema da autenticação inicial

  • O ponto central dos magic links é que o sistema de segurança não é mais forte que o mecanismo de recuperação

    • Ao usar o mecanismo de recuperação como principal meio de autenticação, ele revela com mais honestidade o estado real da segurança

  • Acho que o ideal é clicar no link no dispositivo onde recebeu o e-mail, mas concluir o processo de login sem repassar a sessão

  • Tenho suspeita de que magic links tornam o compartilhamento de contas mais difícil e isso cria um benefício oculto para empresas

    • Porque é desconfortável compartilhar a senha do e-mail

  • Penso que uma UI de mediação condicional usando código OTP de e-mail e passkeys é uma alternativa melhor

    • Em dispositivos antigos, login instantâneo com passkey
    • Em novos dispositivos, após inserir o código de e-mail, orientar o usuário a configurar uma passkey

  • Acredito que magic links são absurdamente bobos, e estou insatisfeito com decisões técnicas da internet

  • Prefiro a opção de login por QR code da Kagi

    • Dá para fazer login com um clique escaneando um QR code de um dispositivo já logado
    • No primeiro login, é necessário usar outro método