GN⁺: 매직/트래직 이메일 링크: 유일한 옵션으로 만들지 않기
(recyclebin.zip)Magic/Tragic Email Links: 유일한 옵션으로 만들지 말 것
- Magic Links의 의미: 과거에는 미래지향적인 PDA를 의미했으나, 현재는 Auth0와 같은 회사들이 이메일에 로그인 링크를 포함하는 약간 마법 같은 기능을 지칭함.
- Magic Links의 장점: 비밀번호보다 피싱이 어렵고, 비밀번호 유출을 방지하며, 사용자가 이전에 유출된 비밀번호를 재사용하는 것을 막아 사이트를 보호함.
-
문제점:
- 다중 기기 사용: 여러 컴퓨터를 사용하는 사용자에게는 불편함을 초래함. 예를 들어, 게임용 PC나 업무용 노트북에 이메일이 설정되어 있지 않을 수 있음.
- 속도 문제: SMTP 지연 및 링크를 올바른 브라우저로 가져오는 과정에서 2초에서 몇 분까지 지연될 수 있음.
- 모바일 비호환성: 앱 내 브라우저 사용을 방해하여 특히 RSS 리더 앱에서 불편함을 초래함.
- 보안 문제: 개인 이메일을 업무 기기에서 접근하도록 유도하는 것은 보안에 좋지 않음.
- 대안 제안: OTP를 이메일이나 SMS로 전송하여 입력하는 방식은 불편하지만, 이메일 클라이언트에서 브라우저로 복사/붙여넣기가 어려운 상황에서도 쉽게 로그인할 수 있게 함.
- 기술적이고 개인정보 보호에 민감한 사용자: Magic Links를 기본으로 사용할 경우, 적어도 패스키와 같은 강력한 대안을 제공할 것을 고려해야 함.
- 추가 참고 자료: Ricky Mondello의 글은 패스키가 Magic Links의 문제를 어떻게 해결할 수 있는지를 설명함. 읽어볼 것을 권장함.
Hacker News 의견
-
앱 개발 시 마법 링크 사용의 문제점으로, 이메일 접근이 어려운 기기에서 로그인할 수 있도록 대체 로그인 코드를 포함해야 함
- 이메일 클라이언트가 자동으로 링크를 열어 미리보기 스크린샷을 생성할 수 있는 경우를 대비해야 함
- 사용자가 선호하는 브라우저 대신 인앱 브라우저를 사용하는 이메일 클라이언트와의 호환성을 확보해야 함
-
Mercury의 마법 링크 사용이 불편함을 초래하여 다른 은행으로 옮길 생각임
- IP 주소가 변경될 때마다 추가 인증을 요구하는 것이 불편함
- 이메일과 웹 브라우징을 다른 컴퓨터에서 수행하기 때문에 긴 링크를 복사하여 붙여넣는 것이 번거로움
-
이메일의 링크 클릭이 피싱을 연상시켜 마법 링크를 싫어함
-
404의 게시물에 대한 반응으로 마법 링크와 패스키를 함께 사용하는 방법에 대한 블로그 글이 유익하다고 생각함
-
패스키가 마법 링크의 대안이 아니라는 점에 대해 혼란스러움
- 패스키는 다른 방법으로 로그인한 후에 생성할 수 있는 옵션으로 제공됨
- 초기 인증 문제를 해결하지 못함
-
마법 링크의 핵심은 보안 시스템이 복구 메커니즘보다 강하지 않다는 점임
- 복구 메커니즘을 주된 인증 수단으로 사용하여 보안의 실제 상태를 솔직하게 드러냄
-
이메일을 받은 기기에서 링크를 클릭해야 하지만 세션이 전송되지 않고 로그인 프로세스를 완료하는 방식이 가장 좋다고 생각함
-
마법 링크가 계정 공유를 어렵게 만들어 기업에 숨겨진 이익이 있다고 의심함
- 이메일 비밀번호를 공유하기 꺼려지기 때문임
-
이메일 OTP 코드와 패스키를 사용하는 조건부 중재 UI가 더 나은 옵션이라고 생각함
- 기존 기기에서는 패스키로 즉시 로그인 가능
- 새로운 기기에서는 이메일 코드를 입력한 후 패스키 설정을 유도함
-
마법 링크가 매우 어리석다고 생각하며, 인터넷의 기술적 결정에 불만을 가짐
-
Kagi의 QR 코드 로그인 옵션을 선호함
- 이미 로그인된 기기로 QR 코드를 스캔하여 버튼 하나로 로그인 가능
- 첫 로그인 시에는 다른 방법이 필요함