Jangan Jadikan Magic/Tragic Email Links sebagai Satu-satunya Opsi

 (recyclebin.zip)
2 poin oleh GN⁺ 2025-01-08 | 1 komentar | Bagikan ke WhatsApp

Magic/Tragic Email Links: Jangan Jadikan Ini Satu-satunya Opsi

  • Arti Magic Links: Dulu berarti konsep PDA futuristik, tetapi sekarang dipakai perusahaan seperti Auth0 untuk menyebut fitur agak ajaib yang menyisipkan tautan masuk di email.
  • Keunggulan Magic Links: Membuat phishing lebih sulit dari kata sandi, mencegah kebocoran kata sandi, dan melindungi situs dengan mencegah pengguna memakai ulang kata sandi yang pernah bocor sebelumnya.
  • Masalah:
    • Penggunaan multi-perangkat: Menyebabkan ketidaknyamanan bagi pengguna yang memakai beberapa komputer. Misalnya, komputer gaming atau laptop kerja mungkin tidak memiliki email yang terpasang.
    • Masalah kecepatan: Penundaan bisa mencapai 2 detik hingga beberapa menit karena keterlambatan SMTP dan saat membawa tautan ke browser yang tepat.
    • Ketidakcocokan seluler: Mengganggu penggunaan in-app browser, yang terutama merepotkan pada aplikasi pembaca RSS.
    • Masalah keamanan: Mendorong akses email pribadi dari perangkat kerja bukanlah praktik yang aman.
  • Usulan alternatif: Mengirim OTP lewat email atau SMS lalu mengetiknya memang kurang nyaman, tetapi lebih mudah untuk masuk ketika menyalin-tempel tautan dari klien email ke browser sulit dilakukan.
  • Pengguna yang teknis dan peka privasi: Jika memakai Magic Links sebagai default, pertimbangkan untuk setidaknya menyediakan alternatif yang kuat seperti passkey.
  • Referensi tambahan: Artikel Ricky Mondello menjelaskan bagaimana passkey bisa mengatasi masalah Magic Links; disarankan untuk membacanya.

Bacaan terkait

1 komentar

 
GN⁺ 2025-01-08
Komentar Hacker News

  • Saat mengembangkan aplikasi, masalah menggunakan magic link adalah bahwa Anda harus menyertakan kode login alternatif agar bisa masuk di perangkat yang sulit mengakses email

    • Harus mengantisipasi klien email yang dapat secara otomatis membuka tautan untuk membuat tangkapan layar pratinjau
    • Harus memastikan kompatibilitas dengan klien email yang memakai in-app browser ketimbang browser bawaan pengguna

  • Saya berpikir untuk beralih ke bank lain karena magic link di Mercury merepotkan

    • Meminta autentikasi tambahan setiap kali alamat IP berubah terasa merepotkan
    • Karena menerima email dan browsing web di komputer berbeda, menyalin-tempel tautan panjang jadi tidak nyaman

  • Saya tidak suka magic link karena klik tautan email mengingatkan saya pada phishing

  • Saya merasa artikel blog yang membahas cara menggunakan magic link dan passkey bersama sebagai respon atas postingan 404 sangat bermanfaat

  • Saya bingung soal klaim bahwa passkey bukan alternatif magic link

    • Passkey disajikan sebagai opsi yang dapat dibuat setelah login dengan metode lain
    • Tidak menyelesaikan masalah autentikasi awal

  • Inti magic link adalah sistem keamanan tidak lebih kuat dari mekanisme pemulihan

    • Menjadikan mekanisme pemulihan sebagai metode autentikasi utama secara jujur mengungkap status keamanan yang sebenarnya

  • Saya pikir pendekatan terbaik adalah mengklik tautan pada perangkat penerima email, tetapi menyelesaikan proses login tanpa mengirim sesi

  • Muncul kecurigaan bahwa magic link memberi keuntungan terselubung bagi perusahaan karena menyulitkan berbagi akun

    • Karena orang enggan berbagi kata sandi email

  • Saya pikir UI mediasi bersyarat dengan kode OTP email dan passkey adalah opsi yang lebih baik

    • Pada perangkat lama, login bisa langsung dengan passkey
    • Pada perangkat baru, minta kode email lalu arahkan pengguna untuk menyiapkan passkey

  • Saya pikir magic link itu sangat bodoh dan tidak menyukai keputusan teknis internet

  • Saya lebih suka opsi login QR code dari Kagi

    • Memindai QR code dari perangkat yang sudah login untuk masuk dengan satu tombol
    • Untuk login pertama tetap perlu metode lain