Какие риски есть у passwordless-авторизации (email / SMS)?

Question

Passwordless-авторизация снижает риски утечки паролей, но создаёт новые уязвимости. Основные риски связаны с перехватом email или SMS и зависимостью от внешних каналов доставки. Также возможны проблемы с доступностью и задержками. UX может страдать при плохой связи. Поэтому passwordless не всегда универсальное решение.

YeaHub · Accepted Answer

Passwordless-авторизация выглядит безопаснее паролей, но имеет свои слабые места.Основные рискиПри использовании email или SMS появляются следующие проблемы:Компрометация канала доставкивзлом почты пользователяSIM-swap атакиперехват сообщенийЗависимость от внешних сервисовнедоступность почтовых сервисовзадержки доставки SMSблокировки сообщенийПроблемы UXпользователь не получил письмоссылка устареласложность входа без доступа к почтеОграниченный контроль безопасностисложнее обнаруживать атакименьше сигналов для антифродаГде passwordless подходитнизкорисковые сервисыonboarding без тренияприложения с редкими входамиГде не подходитфинансовые сервисыадмин-панелисистемы с высокими требованиями безопасностиВыводPasswordless снижает одни риски, но создаёт другие. Его стоит использовать осознанно и часто в комбинации с дополнительными факторами защиты.