Total lustig. Bequem den Magic Link zuschicken lassen als Sicherheitsmaßnahme. Ein Widerspruch in sich. Sowas gibt's sogar als vorgeschlagene Maßnahme von sogenanntem Pen-Testern. Als ob davon auszugehen ist, dass das das Postkartenidyll Übertragungsweg besser macht.
Ohne über Autorisierung, Authentifizierung, Mißbrauchs- und Identitätsfragen philosophieren zu wollen, sollte heute Zwei-Faktor-"Authentifizierung" Minimum sein.
aber ist das nicht dasselbe, wenn ich sonst jedes mal auf "passwort vergesen" klicke. In beiden faellen wird mir eine mail geschickt. ok, in meinen beispielen sind wohl auch keine 2 faktor identifizierungen enthalten
url+Token sind identisch zur Passwortübermittlung, sofern man gezwungen ist, dass Passwort bei Erstlogin zu ändern. Außerdem muss ein Gültigkeitszeitraum für Token wie Initialpasswort gegeben sein.
Einen nachvollziehbaren Sicherheitsgewinn gibt's aber erst mit 2FA.
Total lustig. Bequem den Magic Link zuschicken lassen als Sicherheitsmaßnahme. Ein Widerspruch in sich. Sowas gibt's sogar als vorgeschlagene Maßnahme von sogenanntem Pen-Testern. Als ob davon auszugehen ist, dass das das Postkartenidyll Übertragungsweg besser macht.
Ohne über Autorisierung, Authentifizierung, Mißbrauchs- und Identitätsfragen philosophieren zu wollen, sollte heute Zwei-Faktor-"Authentifizierung" Minimum sein.
aber ist das nicht dasselbe, wenn ich sonst jedes mal auf "passwort vergesen" klicke. In beiden faellen wird mir eine mail geschickt. ok, in meinen beispielen sind wohl auch keine 2 faktor identifizierungen enthalten
url+Token sind identisch zur Passwortübermittlung, sofern man gezwungen ist, dass Passwort bei Erstlogin zu ändern. Außerdem muss ein Gültigkeitszeitraum für Token wie Initialpasswort gegeben sein.
Einen nachvollziehbaren Sicherheitsgewinn gibt's aber erst mit 2FA.