Enlaces de correo electrónico Magic/Tragic: no los conviertas en la única opción

 (recyclebin.zip)
2 puntos por GN⁺ 2025-01-08 | 1 comentarios | Compartir por WhatsApp

Enlaces de correo electrónico Magic/Tragic: no los conviertas en la única opción

  • Significado de Magic Links: en el pasado significaba un PDA de visión hacia el futuro, pero hoy se usa para describir una función algo mágica de compañías como Auth0 que incluye un enlace de inicio de sesión en el correo electrónico.
  • Ventajas de los Magic Links: el phishing es más difícil que con contraseñas, evita la fuga de contraseñas y protege el sitio al impedir que el usuario reutilice una contraseña previamente expuesta.
  • Problemas:
    • Uso en múltiples dispositivos: puede resultar incómodo para quienes usan varias computadoras. Por ejemplo, una PC para juegos o una laptop de trabajo podría no tener configurado el correo electrónico.
    • Problemas de velocidad: la latencia de SMTP y el proceso para pasar el enlace al navegador correcto pueden generar demoras de 2 segundos a varios minutos.
    • Incompatibilidad móvil: interfiere con el uso de navegadores dentro de apps, lo que causa molestias, especialmente en apps de lectores RSS.
    • Problemas de seguridad: no es adecuado invitar a acceder al correo personal desde un dispositivo laboral.
  • Propuesta alternativa: enviar un OTP por correo o SMS para que el usuario lo ingrese puede ser incómodo, pero permite iniciar sesión con facilidad incluso cuando copiar y pegar desde el cliente de correo al navegador no es sencillo.
  • Para usuarios técnicos y preocupados por la privacidad: si se usan Magic Links como opción por defecto, conviene considerar ofrecer al menos una alternativa sólida como las passkeys.
  • Lectura adicional: el artículo de Ricky Mondello explica cómo las passkeys pueden resolver los problemas de los Magic Links. Se recomienda leerlo.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-01-08
Comentario de Hacker News

  • Un problema de usar magic links en el desarrollo de apps es que debes incluir un código de inicio de sesión alternativo para poder iniciar sesión en un dispositivo sin acceso fácil al correo electrónico.

    • Hay que contemplar el caso en que el cliente de correo abra el enlace automáticamente y genere una captura de pantalla previa.
    • Hay que asegurar compatibilidad con clientes de correo que usan un navegador in-app en lugar del navegador preferido por el usuario.

  • Los magic links de Mercury son tan molestos que estoy pensando en cambiar de banco.

    • Es molesto que se requiera autenticación adicional cada vez que cambia la dirección IP.
    • Resulta engorroso copiar y pegar enlaces largos porque el correo y la navegación web se hacen desde computadoras distintas.

  • Los magic links son antipáticos porque hacer clic en un enlace en el correo electrónico se siente como phishing.

  • Me pareció útil el post del blog que explica cómo usar magic links y passkeys juntos, en respuesta a una publicación de 404.

  • Me resulta confuso que las passkeys se presenten como no una alternativa a los magic links.

    • Las passkeys se ofrecen como una opción para crearla después de iniciar sesión por otro método.
    • No resuelven el problema de autenticación inicial.

  • El problema central de los magic links es que los sistemas de seguridad no son más fuertes que los mecanismos de recuperación.

    • Usar un mecanismo de recuperación como método principal de autenticación deja al descubierto el estado real de la seguridad.

  • Pienso que lo ideal sería que el enlace de magic se abra en el dispositivo que recibió el correo, pero que no se transfiera la sesión y se complete el flujo de inicio de sesión.

  • Sospecho que a las empresas les interesa que los magic links dificulten la compartición de cuentas.

    • Porque la gente no quiere compartir la contraseña del correo electrónico.

  • Creo que una interfaz de recuperación condicional con códigos OTP por correo y passkeys es una mejor opción.

    • En un dispositivo existente se podría iniciar sesión de inmediato con passkey.
    • En un dispositivo nuevo, primero se ingresa el código del correo y luego se te sugiere configurar una passkey.

  • Considero que los magic links son muy tontos y me molesta la dirección técnica que está tomando internet.

  • Prefiero la opción de inicio de sesión por código QR de Kagi.

    • Puedes escanear el QR desde un dispositivo ya autenticado y entrar con un botón.
    • Se necesita otro método para el primer inicio de sesión.