Вопрос проверяет понимание ограничений passwordless-подходов и умение оценивать риски безопасности и UX.
Passwordless-авторизация снижает риски утечки паролей, но создаёт новые уязвимости. Основные риски связаны с перехватом email или SMS и зависимостью от внешних каналов доставки. Также возможны проблемы с доступностью и задержками. UX может страдать при плохой связи. Поэтому passwordless не всегда универсальное решение.
Passwordless-авторизация выглядит безопаснее паролей, но имеет свои слабые места.
При использовании email или SMS появляются следующие проблемы:
Компрометация канала доставки
взлом почты пользователя
SIM-swap атаки
перехват сообщений
Зависимость от внешних сервисов
недоступность почтовых сервисов
задержки доставки SMS
блокировки сообщений
Проблемы UX
пользователь не получил письмо
ссылка устарела
сложность входа без доступа к почте
Ограниченный контроль безопасности
сложнее обнаруживать атаки
меньше сигналов для антифрода
низкорисковые сервисы
onboarding без трения
приложения с редкими входами
финансовые сервисы
админ-панели
системы с высокими требованиями безопасности
Passwordless снижает одни риски, но создаёт другие. Его стоит использовать осознанно и часто в комбинации с дополнительными факторами защиты.
