Liens e-mail Magic/Tragic : ne les faites pas votre seule option

 (recyclebin.zip)
2 points par GN⁺ 2025-01-08 | 1 commentaires | Partager sur WhatsApp

Liens e-mail Magic/Tragic : ne les faites pas votre seule option

  • Signification de Magic Links : autrefois, cela désignait un PDA futuriste ; désormais, des entreprises comme Auth0 utilisent le terme pour décrire une fonctionnalité un peu magique qui consiste à inclure un lien de connexion dans un e-mail.
  • Avantages des Magic Links : le phishing est plus difficile qu’avec des mots de passe, les fuites de mots de passe sont empêchées, et les utilisateurs ne réutilisent pas un mot de passe précédent compromis, ce qui protège mieux le site.
  • Problèmes :
    • Utilisation multi-appareils : elle peut être gênante pour les utilisateurs qui utilisent plusieurs ordinateurs. Par exemple, un PC de jeu ou un ordinateur portable professionnel n’a peut-être pas de boîte mail configurée.
    • Problème de latence : selon les cas, des retards peuvent survenir, de deux secondes à plusieurs minutes, à cause d’un délai SMTP et du passage du lien vers le bon navigateur.
    • Incompatibilité mobile : elle gêne la navigation dans le navigateur intégré de l’application, ce qui est particulièrement problématique avec les lecteurs RSS.
    • Problème de sécurité : inciter à accéder à un e-mail personnel depuis un appareil de travail n’est pas idéal pour la sécurité.
  • Alternative proposée : demander un OTP par e-mail ou SMS, même s’il faut le saisir, permet de se connecter facilement quand il est difficile de copier-coller le lien depuis le client mail vers le navigateur.
  • Utilisateurs techniques et soucieux de la confidentialité : si vous choisissez de proposer les Magic Links par défaut, pensez à proposer au moins une alternative aussi robuste, comme les passkeys.
  • Ressources supplémentaires : L’article de Ricky Mondello montre comment les passkeys peuvent résoudre les problèmes liés aux Magic Links. Il est recommandé de le lire.

À lire aussi

1 commentaires

 
GN⁺ 2025-01-08
Avis sur Hacker News
  • Lors du développement d'une app, considérer les magic links comme problématiques : il faut inclure un code de connexion alternatif pour pouvoir se connecter sur les appareils où l’accès à l’e-mail est difficile.
    • Prévoir le cas où le client e-mail pourrait ouvrir automatiquement le lien et générer une capture d’écran de prévisualisation.
    • Assurer la compatibilité avec les clients e-mail qui utilisent un navigateur in-app au lieu du navigateur favori de l’utilisateur.
  • L’usage des magic links chez Mercury est pénible, et je pense à changer vers une autre banque.
    • C’est gênant que le système demande une authentification supplémentaire à chaque changement d’adresse IP.
    • Copier-coller des liens très longs est fastidieux car je consulte les e-mails et je navigue sur le web sur des ordinateurs différents.
  • Les clics sur des liens e-mail évoquent le phishing, donc je déteste les magic links.
  • Je trouve utile l’article de blog qui explique comment utiliser magic links et passkeys ensemble en réponse à la publication de 404.
  • Il y a de la confusion sur le fait que les passkeys ne sont pas une alternative aux magic links.
    • Les passkeys sont proposées comme option disponible seulement après une connexion par un autre moyen.
    • Elles ne résolvent pas le problème d’authentification initiale.
  • Le cœur du sujet des magic links est que le système de sécurité n’est pas plus robuste que le mécanisme de récupération.
    • Utiliser le mécanisme de récupération comme méthode d’authentification principale révèle honnêtement l’état réel de la sécurité.
  • Je pense qu’il est préférable que, lorsque l’on reçoit l’e-mail sur un appareil, il faille cliquer sur le lien et qu’on puisse finir le processus de connexion sans transmettre la session.
  • Je suspecte que les magic links apportent un bénéfice caché aux entreprises en rendant le partage de compte difficile.
    • Parce que personne n’a envie de partager le mot de passe e-mail.
  • Je pense qu’une interface de médiation conditionnelle avec code OTP e-mail + passkey serait une meilleure option.
    • Sur un appareil déjà connu, se connecter immédiatement avec une passkey.
    • Sur un nouvel appareil, demander un code e-mail, puis inviter à configurer une passkey.
  • Je pense que les magic links sont vraiment stupides et je suis frustré par la manière dont Internet est techniquement décidé.
  • Je préfère l’option de connexion par QR code de Kagi.
    • Scanner le QR code avec un appareil déjà connecté pour se connecter en un clic.
    • Lors de la première connexion, une autre méthode est nécessaire.