मैजिक/Tragic ईमेल लिंक: इन्हें अकेला विकल्प न बनाएं

 (recyclebin.zip)
2 पॉइंट द्वारा GN⁺ 2025-01-08 | 1 टिप्पणियां | WhatsApp पर शेयर करें

Magic/Tragic Email Links: इन्हें अकेला विकल्प न बनाएँ

  • Magic Links का मतलब: पहले यह भविष्यवादी PDA के लिए इस्तेमाल होता था, लेकिन अब Auth0 जैसी कंपनियाँ इसे ईमेल में लॉगिन लिंक डालने वाली लगभग 'मैजिक' फीचर के लिए इस्तेमाल करती हैं।
  • Magic Links के फायदे: पासवर्ड की तुलना में फिशिंग करना मुश्किल होता है, पासवर्ड लीक होने से बचाता है, और उपयोगकर्ता को पहले लीक हो चुके पासवर्ड को दोबारा इस्तेमाल करने से रोककर साइट की सुरक्षा बढ़ाता है।
  • समस्याएं:
    • मल्टी-डिवाइस उपयोग: कई कंप्यूटर इस्तेमाल करने वाले यूज़र्स के लिए यह असुविधाजनक हो सकता है। उदाहरण के लिए, गेमिंग PC या ऑफिस लैपटॉप पर ईमेल सेटअप न होने की स्थिति हो सकती है।
    • स्पीड की समस्या: SMTP डिले और लिंक को सही ब्राउज़र में ले जाने की प्रक्रिया के कारण देरी 2 सेकंड से लेकर कई मिनट तक हो सकती है।
    • मोबाइल कम्पैटिबिलिटी: यह इन-ऐप ब्राउज़र उपयोग में बाधा डालता है, जिससे खासकर RSS रीडर ऐप्स में दिक्कत बढ़ती है.
    • सिक्योरिटी मुद्दा: किसी को अपना निजी ईमेल बिज़नेस डिवाइस पर एक्सेस करने के लिए प्रेरित करना सुरक्षा के लिहाज़ से ठीक नहीं है।
  • वैकल्पिक तरीका: OTP को ईमेल या SMS के ज़रिए भेजकर मैन्युअली दर्ज करने का तरीका थोड़ा झंझट वाला है, लेकिन जब ईमेल क्लाइंट से ब्राउज़र में लिंक कॉपी-पेस्ट करना कठिन हो तब भी आसान लॉगिन देता है।
  • तकनीकी और प्राइवेसी-सेंसिटिव यूज़र्स के लिए: यदि आप Magic Links को डिफॉल्ट विकल्प बनाते हैं, तो कम से कम पासकी जैसी मजबूत वैकल्पिक तकनीक उपलब्ध कराने पर विचार करें।
  • अतिरिक्त संदर्भ: Ricky Mondello का लेख दिखाता है कि Passkey, Magic Links की समस्याओं का समाधान कैसे कर सकता है; इसे ज़रूर पढ़ें।

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-01-08
Hacker News टिप्पणी

  • ऐप डेवलपमेंट में magic link उपयोग करते समय यह समस्या दिखती है कि ईमेल एक्सेस मुश्किल होने वाले डिवाइस पर लॉगिन के लिए एक वैकल्पिक (alternate) login code भी होना चाहिए

    • अगर email client लिंक को अपने‑आप खोलकर preview screenshot बना दे, तो उसके लिए संभालना पड़ेगा
    • ऐसे email clients के साथ compatibility सुनिश्चित होनी चाहिए जो preferred browser के बजाय in-app browser में लिंक खोलते हैं

  • Mercury में magic link का अनुभव असुविधाजनक लगा, इसलिए शायद किसी और बैंक पर शिफ्ट होने पर विचार कर रहा/रही हूँ

    • जब भी IP बदलता है, अतिरिक्त authentication माँगना असहज लगता है
    • ईमेल और वेब ब्राउज़िंग अलग-अलग कंप्यूटर पर करने के कारण लंबा लिंक कॉपी-पेस्ट करना झंझट बन जाता है

  • ईमेल का लिंक क्लिक करना phishing की याद दिलाता है, इसलिए मुझे magic links पसंद नहीं

  • 404 के पोस्ट के जवाब में, magic link और passkey को साथ में कैसे use करना है, इस पर एक blog पोस्ट काम की लगी

  • passkey को magic link का विकल्प मानने को लेकर कन्फ्यूज़न है

    • passkey सिर्फ तब विकल्प के रूप में मिलते हैं जब किसी अन्य तरीके से login करके बनाया जाए
    • यह प्रारंभिक authentication समस्या को ठीक नहीं करते

  • magic link का बड़ा मुद्दा यह है कि security system, recovery mechanism से ज्यादा मजबूत नहीं लगता

    • जब recovery mechanism को ही मुख्य authentication method बना दिया जाए, तो security की वास्तविक स्थिति साफ़ हो जाती है

  • लिंक क्लिक करने के लिए वही device इस्तेमाल करना चाहिए जिस पर email आया हो, लेकिन बिना session ट्रांसफर किए login flow पूरा हो जाए—यह सबसे बेहतर तरीका होगा

  • लगता है कि magic link account sharing को कठिन बना देते हैं, जिससे companies को कोई hidden benefit मिल सकता है

    • क्योंकि लोग email password शेयर करने से बचते हैं

  • email OTP code और passkey वाला conditional मध्यस्थ UI शायद बेहतर विकल्प है

    • पहले से logged-in devices पर तुरंत passkey से login किया जा सकता है
    • नए devices पर पहले email code डालने के बाद passkey सेटअप करने के लिए कहा जाता है

  • magic link बहुत ही बेवकूफाना लगते हैं, इंटरनेट की तकनीकी फैसलों पर गुस्सा आता है

  • मुझे Kagi का QR code login विकल्प पसंद है

    • पहले से logged-in device पर QR code स्कैन करके एक क्लिक से login हो जाता है
    • पहली बार login के लिए अन्य कोई तरीका चाहिए