Alapvetően mindig egy tradeoff van a használhatóság és a biztonság között. A link-el történő belépés pontosan ugyanazt a biztonságot adja, mint az elfelejtett jelszó esetén küldött email-lel való jelszócsere, ha tehát az utóbbit engedik (és viszonylag sok helyen engedik) akkor alapvetően rendben van a rendszer.
Amennyiben viszont az email-t nem tekintjük biztonságos csatornának, akkor hogyan is oldod meg a jelszócserét? Kérsz az email link mellé egy második faktort?
Nos, nézzük:
- SMS/TOTP: elvesztette a telefonját, bukó.
- Security kérdés és válasz: Mennyire tud emlékezni arra, hogy a Hány éves a kapitány kérdésre az a válasz hogy rántotthús?
- Első belépéskor kapott egyszer használatos kódok: bizonyára kinyomtatta (ki nyomtat 2021-ben?) és berakta a fiókba...
- Rendszerhasználati kérdések: mi volt a dokumentum neve amit 3 hete küldtél bm@maca.hu címre?
Őszintén, nekem még nem sikerült felhasználó barát ÉS biztonságos jelszócserés megoldást látnom, amely reális erőforrással megvalósítható, és az alapvető usecase-eket kezeli.