Hacker News 의견

• 이메일 계정은 온라인 인증에서 가장 보편적인 방법임

  • 전화번호도 경쟁력 있지만, 사람들은 휴대폰을 잃어버릴 수 있음
  • 전화번호 보안은 이메일 계정보다 낮음
  • 사용자 인증 시스템 설계 시 계정 복구를 고려해야 함

• 비즈니스가 간편함을 제공하는 경우, 이메일 인증 시스템을 사용함

  • 사용자가 이메일 입력
  • 이메일로 인증 코드 전송
  • 사용자가 코드를 입력하면 "무기한" 로그인 상태 유지
  • 새로운 이메일이면 자동으로 계정 생성
  • 일부 사용자는 여러 이메일을 사용해 새로운 계정을 실수로 생성할 수 있음
  • 이 방법은 등록 및 로그인 전환율을 크게 개선함

• 비밀번호 기반 인증 시스템은 비현실적임

  • 비밀번호는 두 가지 방식으로 사용됨
    • 비밀번호 관리자를 통해 단일 비밀번호로 보호
    • 여러 서비스에서 동일한 비밀번호 반복 사용
  • 대부분의 서비스는 이메일 복구를 제공함
  • 개인 이메일 계정은 거의 교체되지 않으며, 공유되지 않고 재사용되지 않음

• 이메일로 일회용 URL 링크를 보내 로그인하는 방법 제안

  • 링크는 10분 내에 만료되고 일회용임
  • 링크를 가진 사람은 로그인 가능하지만, 이메일에서만 접근 가능함
  • 보안은 이메일 계정에 의존함

• 서비스 제공자가 사용자에게 불편을 주는 이유는 단순함

  • 이메일 제공자는 세션이 거의 끝나지 않음
  • 서비스 인증 토큰을 Gmail 세션 시간과 동일하게 설정하거나, OTP로 로그인 가능하게 함

• 대부분의 사람들은 컴퓨터 작업을 시도해보고 해결함

  • 소프트웨어는 시스템을 잘 이해하는 사람들이 만들지만, 사용자는 그렇지 않음
  • 사용자는 작동하는 패턴을 찾으면 그것을 고수함
  • 많은 학교가 태블릿을 사용해 컴퓨터 사용 감각을 익히지 못함

• 비밀번호를 잊어버리는 단계를 생략하고 이메일을 인증으로 사용하는 사이트 있음

  • 이메일 주소 입력
  • 코드가 포함된 이메일 수신
  • 코드 입력 후 로그인
  • 여러 이메일을 사용하는 사람들에게는 불편할 수 있음

• Best Buy에서 비슷한 방법을 사용함

  • 비밀번호 관리자를 사용해 비밀번호를 저장하지만, ATO 보호로 인해 비밀번호가 유효하지 않다고 나옴
  • 문제를 해결하려다 지쳐서 가장 쉬운 방법을 따르게 됨

• 로그인 흐름이 비슷함

  • A) 웹사이트 방문, 비밀번호 관리자 통해 비밀번호 복사 및 붙여넣기, 이메일로 TOTP 요청 수신
  • B) 웹사이트 방문, 비밀번호 잊어버림 클릭, 로그인 링크 수신, 임의의 문자열 입력
  • B 방법이 더 빠를 때도 있음

• 사용자가 비밀번호를 저장하지 않는 이유는 비밀번호 관리자가 없기 때문임

  • 비밀번호 관리자를 알고 있어도 공유 클라우드 PC에서 작업할 때 계정을 전환하는 것이 번거로움
  • 비밀번호 저장 기능이 없는 사이트는 비밀번호를 저장하지 않음