电子邮件，仅作为身份验证

Question

怎么样只用电子邮件地址（用户名没有，没有密码）进行身份验证作为一种穷人的OpenID的？

注册过程仅需要用户的电子邮件，并会发送与随机数的链接登录，就像许多服务通常用于恢复密码/电子邮件验证做。验证了随机数后，该服务将像往常一样在浏览器中设置一个（永久）cookie并将其用作标识。如果用户希望使用另一台机器/浏览器，则必须发送另一条消息。

我从来没有见过一个网站做类似的东西。你对这个计划有什么看法？是否有任何明显的安全漏洞，我没有看到（考虑到通常的东西，比如保护cookie为仅限https，正确完成）？现在通过垃圾邮件过滤器很难获得这种电子邮件吗？你觉得用户很难习惯吗？你看到任何可用性问题？

Answer 1

这将是不安全的。默认情况下，电子邮件以明文形式发送，并且您不能保证它们将以加密方式发送（用户的邮件服务器可能不支持TLS）。此外，还有一些边缘情况：电子邮件收件箱可能被多人访问;一个电子邮件地址可能会在将来被不同的人或人所拥有，特别是在工作电子邮件地址的情况下。是的，有时候您希望帐户由您的电子邮件地址的继承人继承，但有时您不会。

然而，有一个“重设密码”功能，并且不需要比你能力之外的任何其他身份验证来阅读电子邮件，使用该功能的网站，也一样没有安全感！他们只有看起来更安全。