Szeretnéd tudni, hogy mik is azok a magic linkek?
Egy tökéletes világban egyetlen jelszót sem kell megjegyezned, ehelyett be tudnál jelentkezni egyetlen kattintással. Csak képzeld el! Ez így elég vagány lenne, igaz? A jó hír, hogy nemrég megjelent egy újfajta megközelítés, ami megkönnyíti a bejelentkezés folyamatát: mágikus linkek által (de a későbbiekben hívjuk eredeti nevükön “magic” linkeknek). Olvass tovább, hogy megtudd, mik is ezek a mágikus linkek; hogyan működnek; javítják-e a felhasználói élményt; és hogy biztonságosak-e vagy sem.
Mik azok a magic linkek?
A magic linkeket a jelszómentes, illetve a többszintes hitelesítés érdekében találták ki. A felhasználónév/e-mail cím és jelszó páros megadása helyett csak az e-mail címedre van szükség. Ezután e-mailben megkapod a linket, amelyre ha rákattintasz, automatikusan hitelesítve (authentifikálva) leszel. A magic linkek lényegében speciális URL-ek egy beágyazott tokennel, amelyek feljogosítják a felhasználót, hogy regisztráljon, bejelentkezzen vagy akár online fizetéseket hagyjon jóvá.
Lássuk, hogyan is működnek a magic linkek, vessünk egy pillantást az előnyeire és hátrányaira, illetve vizsgáljuk meg, hogy mennyire biztonságosak.
Hogyan működnek a magic linkek?
A folyamat három lépésre bontható fel:
- A felhasználó beírja az e-mail címét.
- A felhasználó kap egy e-mailt, ha regisztrálva van az adott oldalon, amely tartalmazza a magic linket.
- A felhasználó rákattint a magic linkre, és hitelesítődik.
A linkre való kattintás hatására beállítódik egy süti (cookie), amely bejelentkezteti a felhasználót a munkamenet (session) idejére.
A lépések hasonlók az elfelejtett jelszó folyamatához, ahol a felhasználó egy specifikus link segítségével új jelszót tud beállítani.
Mennyire biztonságosak?
A magic linkek biztonsága a felhasználó e-mail fiókjának biztonságán alapszik.Biztosan úgy gondolod, hogy a jelszavak nagy biztonságot nyújtanak. Biztos ez? Végülis, igen, amennyiben minden egyes weboldalon különböző, erős jelszót állítasz be, és jelszókezelőt használsz. Apropó, Te használsz jelszó kezelőt? Legtöbb felhasználónak fogalma sincs, hogy az micsoda, és hogyan működik. Sokan lejegyzik jelszavaikat a füzetükbe, digitális dokumentumokba, vagy akár egy kis ragasztós cetlit tesznek a képernyőjük szélére. Figyelembe véve ezeket, azt mondhatnánk, hogy a magic linkek soookkal biztonságosabbak.
Képzeld el, hogy valakinek sikerül bejelentkeznie a Te e-mail fiókodba. Ezáltal könnyen tud jelszó emlékeztetőt kérni, beállítani új jelszót, és így betör a profilodba. Lényegében az e-mail fiók a kulcs mindkét esetben, így a magic linkek nem lehetnek kevésbé biztonságosak, mint a jelszavak. Másfelől viszont, ha az e-mail szolgáltató nem megbízható, akkor a magic linkek használata nem a legbiztonságosabb megoldás.
Felhasználói élmény
Te melyiket választanád? Beírni minden egyes alkalommal a bonyolult jelszavad, vagy beírni az e-mail címedet (amelyet, ha éjjel álmodból költenek fel is tudsz), majd rá kattintani egy linkre? Tegyük fel, hogy a második opciót választottad. Hát persze, hiszen az egy egyszerű és intuitív módja az azonosításnak.
Legtöbb felhasználó számára a regisztráció és a bejelentkezés fájó pont. A jelszavaknak meg kell felelni bizonyos megszorításoknak, meg kell jegyezni őket, ugyanakkor változatosak is kell legyenek. A könnyű felhasználói fiók létrehozás inkább ínyére van a felhasználóknak.
A döntés nem könnyű, nézzük a magic link lehetséges előnyeit és hátrányait
A magic linkek előnyei:
- Egyszerűen és gyorsan jelentkezhetsz be.
- Nem kell megjegyezned bonyolult jelszavakat.
- Könnyebb használhatóság.
- Könnyebb implementáció.
- A link működik függetlenül a használt eszköz típusától: laptop, tablet, okostelefon, asztali számítógép.
Több haszna is van a magic linkek használatának, amelyek megkönnyítik az életünket, viszont ne feledkezzünk meg a hátrányairól sem:
- Biztonsága a felhasználó e-mail fiókjának biztonságán alapszik.
- Az adminisztrátoroknak nincs hatalmuk a link megosztása felett.
- Fogékonyak a lehallgatásos támadásokra (pl. man-in-the-middle).
Hol találkozhatsz, vagy találkozhattál ilyen megoldással?
Mivel az megoldás még nem szuper elterjedt ezért viszonylag kevés implementációval találkozhatunk mindennapi életünk során, de egy közismert azért van köztük. Ez a slack. Így van, kipróbáltam, és most megosztom Veled a képernyőképeket. A folyamat egyszerű volt, könnyen követhető és gyors.
Implementáció
Fejlesztő olvasóinknak itt egy példa implementáció pszeudokódban írva:
Magic link generálás
BEGIN
SET token = random string
save token to database
SET magic link = https://www.{{domain}}.com?token={{token}}
send email to user containing the magic link
END
A magic linkre való kattintás után
BEGINSET token = get the token from query parameters
SET user = find corresponding DB entry based on token
IF user
authenticate the user
ENDIF
END
Összegezve
Most már Te is tudod, hogy a magic linkek nem valami titokzatos, kísérteties dolgok. Nagyon praktikusak, és könnyű használatuknak köszönhetően egyre jobban elterjedhetnek a jövőben, mint felhasználó azonosító módszer. Te használnád őket? Vagy maradsz inkább a régi, jól bevált jelszó alapú azonosításnál?
Hivatkozások
- A guide to magic links: how they work and why you should use them
- Magic Links: Passwordless Login for Your Users
- User-friendly magic links
- Should we embrace magic links and leave passwords alone?
- Magic Links : A One-click solution to most of your funnel conversion problems
- What are Magic Links and how are they Used?
- Magic in Cybersecurity: Magic links to replace the password
- Magic links: The future of online authentication