Magic links ili čarobni linkovi su oblik prijave/logovanja bez lozinke. Umesto da korisnik unese bilo kakav poverljiv podatak za prijavu, prijavljuje se putem URL-a koji dobije u inboks, a neretko i u SMS poruci, sa ugrađenim tokenom. Onda kada korisnik klikne na taj URL biva preusmeren nazad u aplikaciju ili sistem nakon uspešnog prijavljivanja – kao da koristi “čarobnu“ lozinku, ali bez stvarne lozinke.
Mnoge kompanije danas nastoje da zaobiđu autentifikaciju zasnovanu na lozinci, češće se koriste veze, Tumblr ili jednostavan način da pristupe sopstvenim aplikacijama i uslugama, čarobna prijava ih oslobađa obaveze da pamte lozinke.
U ovom tekstu biće razmotreno kako na jednom dubljem nivou deluju čarobni linkovi, te razne situacije u kojim kompanije mogu da ih koriste i istovremeno imaju siguran, ali i kvalitetan korisnički pristup. Biće razmotrena i činjenica kako primena potvrde identiteta pomoću čarobnih linkova može biti od koristi krajnjim korisnicima, ali i programerima, kao i gde oni mogu da budu osuđeni na neuspeh.
Kako funkcionišu čarobni linkovi?
Čarobna prijava uključuje tri koraka:
- Korisnik u prozoru za prijavu unosi svoju e-mail adresu;
- Ukoliko je njegova e-mail adresa registrovana, na istu će da dobije e-mail sa čarobnim linkom;
- Korisnik tada otvara e-mail i klikom na čarobni link dovršava postupak prijave.
Korisniku se u trenutku registracije može poslati aktivan link koji može naknadno da se koristi za potvrdu identiteta. Ovaj postupak je sličan procesu resetovanja lozinke, gde korisnik dobija tajnu vezu koja mu omogućava da zaobiđe lozinku i kreira novu. Da bi postavili čarobnu prijavu, dizajneri aplikacija moraju da imaju postupak uklanjanja lozinki (i svih povezanih ceremonija resetovanja) i umesto toga mogućnost da pošalju tajnu, jednokratnu vezu na e-mail bilo kom korisniku.
Čarobni linkovi funkcionišu na način koji su korisnici videli stotinama puta kroz resetovanje lozinki. Jedina razlika je to što korisnik ne mora da pamti ili unosi lozinku da bi pristupio svom nalogu. Zahvaljujući tome, čarobni linkovi pojednostavljuju postupak prijavljivanja i pružaju dobro korisničko iskustvo, a pritom nema hardverske zahteve.
Kako mogu da koristim čarobne linkove?
Ukoliko razmišljate o primeni čarobnih linkova, verovatno želite da aplikaciji dodate prilagođene funkcije koje doprinose snažnoj bezbednosnoj strategiji.
Neke od glavnih slučajeva upotrebe čarobnih linkova u nastavku:
- Idealne su za retke zahteve za prijavu. Čarobni linkovi izdaju se na početku svake korisničke sesije, autentifikacije korisnika na jednokratnoj osnovi. To ih čini izuzetno kompatabilnim sa aplikacijama koje zahtevaju retku ili pojedinačnu potvrdu identiteta;
- Dobro se uparuje sa WebAuthn-om. WebAuthn je okvir zasnovan na standardima za autentifikaciju bez lozinke koji omogućava web aplikaciji da koristi registrovane uređaje kao faktore za autentifikaciju. Pored internog autentifikatora (npr. koji podržava pregledače poput Google Chrome-a) WebAuthn podržava i niz spoljnih autentifikatora, poput YubiKeys-a i biometrijskih identifikatora. Magični linkovi mogu da pruže i alternativne nivoe autentifikacije za aplikacije koje podržavaju WebAuthn, a da pri tom ne traže od kompanija i korisnika da instaliraju dodatni hardver;
- Sprečite cyber napade na lozinke. Četvrtu godinu za redom Verizonov istraživački izveštaj o kršenju zakona o poverljivosti podataka pokazuje da je krađa akreditiva (lozinki) glavna taktika hakovanja. Čak 80 odsto povreda zakona o poverljivosti temelji se na krađi ili gubitku akreditiva. Čarobni linkovi štite od krađe identiteta, ali i od hakovanja poslovne mreže, jer nema svojstva koja ima autentifikacija pomoću lozinke. Takođe, izbeći ćete postavljanje loših lozinki koje hakeri lako mogu da pogode ili dobiju, budući da većina nas neretko pribegava da postavi lako pamtljivu lozinku, kako bi izbegao frustraciju od pamćenja onih kompleksnijih. Postavljanje slabih i recikliranih lozinki za sve naloge se u svetu cyber bezbednosti zove – loše bezbednosno ponašanje;
- Pojednostavljeno kreiranje naloga i prijava. Pomoću čarobnih linkova programeri mogu da omoguće korisniku da se istovremeno i registruje i prijavi. Novi korisnici mogu da iskoriste korak registracije da bi dobili vezu za prijavljivanje bez potrebe da unose detalje ili postavljaju lozinku.
Koje su prednosti čarobnih linkova?
Kompanije koje primenjuju metodu čarobnih linkova imaju korist od njih na razne načine. Čarobne linkovi omogućavaju:
- Jednostavno postavljanje i upotreba autentifikacije. Kako čarobne linkove prate gotovo identičan tok resetovanja lozinki, ako se odlučite za njihovu primenu biće dovoljno da napravite manja prilagođavanja, koja ne iziskuju dodatne troškove;
- Jednostavan unos. Korisnik treba samo da unese svoju e-mail adresu, a potom da klikne na čarobni link kako bi se registrovao;
- Jednostavnije rešavanje problema tokom prijavljivanja. Kupovinom lozinki za čarobne linkove, kompanije će smanjiti svoje administrativne troškove. Takođe, mnogo manje vremena ćete provoditi baveći se neuspelim prijavama i neće biti potrebe da reagujete na nove zahteve za lozinkom;
- Uvećana poseta. Pozitivno i jednostavno korisničko iskustvo prilikom postupka prijave podstaći će korisnike da nastave da koriste vašu aplikaciju. Čarobni linkovi će vam pomoći da izgradite lojalnu grupu korisnika, te da oformite bazu vernih korisnika;
- Manje napuštanje korpe, više konverzija. Pojednostavljen proces prijave prilikom plaćanja znači da ćete imati manje kupaca koji će da odustanu od kupovine, čime ćete otvoriti vrata za više konverzija i na web-u i na mobilnoj aplikaciji;
- Manji broj cyber napada. Slabe i reciklirane lozinke gotovo po pravilu predstavljaju laku metu za hakerski napad. Zamenom lozinki čarobnim linkovima, umanjićete rizik od preuzimanja kontrole nad nalozima i povredom poverljivih podataka.
Benefiti po krajnje korisnike:
- Hardver nije uslov za prijavu. Autentifikacija metodama poput tvrdog tokena i biometrije uslovljava korisnika da poseduje određenu tehnologiju, dok čarobni linkovi ne zahtevaju nikakve dodatne resurse. To znači da ne postoji prepreka za prijavu, što ovakvu vrstu prijave čini dostupnom najširoj mogućoj bazi korisnika;
- Poznato, intuitivno korisničko iskustvo. Čarobni linkovi nude pojednostavljenu verziju poznatog postupka resetovanja lozinki, zahvaljujući čemu korisnici ulažu mali napor da se registruju i prijave;
- Upotrebljivost na velikom broju uređaja. Čarobni linkovi nude mogućnost jednostavne potvrde identiteta na bilo kom uređaju na kome korisnici imaju pristup svojim mejlovima, što znači da su podjednako održivi na pametnim telefonima, tabletima, prenosnim računarima i desktopovima. Čarobni linkovi će korisnike autentifikovati na uređaju sa koga kliknu na vezu.
Koji su izazovi prilikom korišćenja čarobnih linkova?
Čarobni linkovi mogu ponuditi jaču zaštitu od lozinki, ali i one dolaze sa nekoliko “slepih tačaka na adresu“:
- Bezbednost je vezana za e-mail korisnički nalog. Ovo predstavlja sopstveni skup bezbednosnih rizika. Čarobni linkovi mogu biti poslate nesigurnim kanalima između servera, korisnički mejl može biti vidljiv zaposlenim kod određenog provajdera. Korisnikovom inboksu, takođe, je lako pristupiti ukoliko se koristi nezaštićenim uređajem. Kako bi čarobni mejlovi bili sigurni, korisnik bi trebao da zaštiti svoj e-mail akaunt sa višefaktorskom zaštitom;
- Administratori nemaju kontrolu nad deljenjem linkovima. Administratori ne mogu da vide ili spreče korisnike da dele poverljive veze sa drugima;
- Podložan napadima “čoveka u sredini“. Ako korisnici ne pristupe svojoj e-pošti putem šifrovanih mreža, hakeri mogu presresti manje sigurne veze i ukrasti token sesije sa magičnih linkova.
Čarobni linkovi: Suština
Naposletku, čarobni linkovi su sjajno sredstvo za pružanje korisnicima pojednostavljenog prijavljivanja, no nisu najsigurniji način potvrde identiteta.
Rešenje ove manjkavosti moglo bi da se nađe u korišćenju čarobnih linkova u kombinaciji sa nekom od aplikacija koja traži dodatnu potvrdu identiteta, onda kada se korisnici loguju putem e-maila na nepouzdanim (i nešifrovanim) mrežama. Na taj način mogli biste da umanjite rizik od napada “čoveka u sredini“.
Ukoliko vam je sigurnost primat, dobro bi bilo da istražite dodatne metode zaštite prijava. Trebalo bi da razmišljate u smeru uparivanja čarobnih linkova sa nizom faktora autentičnosti i većeg stepena sigurnosti kako bi vaša kompanija, ali i korisnici bili bezbedni.
Preuzeto sa: https://www.okta.com/blog/2020/09/magic-links/.