最近、あるeコマースサイトでアカウントを作成しました。いつものように名前とメールアドレスを入力しましたが、受信トレイを確認するように指示されました。いつものことです。ところが、戻ってみるとパスワードを設定する欄がありませんでした。1Passwordで32文字の超複雑なパスワードを生成して保存する準備はできていたのですが…結局その機会がありませんでした。

代わりにこれを見ました:

Magic Linkを選択した場合、「ログインするにはここをクリック」というメールが届き、OTPを選択した場合は6桁の文字列を入力します。いずれにしても、その後はログインでき、この2つの方法しかありません。

どのブラウザやデバイスからでもサイトに戻るたびに、電子メール/クリック タンゴを実行するか、Cookie を持っていたので既にログインしていました。

一方で、わざわざメールを開いて戻ってくるのはかなり面倒です。Safariが自動で貼り付けてくれるので、テキストメッセージでOTPを送った方が良かったと思います（Macの世界では便利なエコシステム機能です）。それに、ブラウザとの連携が優れたパスワードマネージャーを既に使っているので、パスワードの方が管理しやすいかもしれません。

しかし、誰もがそうするわけではないので、このシステムは、小さな注意点があるものの、本当に双方にとってメリットがあるのではないかと私は思いました。

ユーザーにとって、パスワードが不要であることは多くの人にとって大きなメリットです。普段の利用パターンを考えてみると、一度ログインすると、その後は長時間ログインせずにウェブサイトを利用することになります。しばらく時間が経ったり、別のデバイスに切り替えたりすると、再びログインする必要があり、その後また長時間ログイン状態が続きます。いずれはログインを繰り返す必要が出てきますが、このメリットは、料金を支払うだけでパスワード管理が不要になることです。

サイトにとってさらに大きなメリットがあります。ハッキングされる可能性は依然としてあります。侵入されてコンテンツが盗まれたり、ユーザーリストが入手されたりする可能性もあります。しかし、ハッキングされた他のサイトのパスワードを使い回したことでアカウントが乗っ取られるといった煩わしさから解放されます。また、ハッキングされた場合でも、攻撃者は膨大な量のデータを削除してくれますが、すべての顧客にパスワード変更を強く求める必要はありません。

ちょっとした注意点として、メールは暗号化されていないという点があります。しかし、現代社会では、メールはGoogleが使用しているメールサーバー（この例ではPostmark）への接続時に暗号化され、その後、私のメールプロバイダー（Gmail）に届くまでの間、暗号化されます。Googleサーバー上にある間は暗号化されていませんが、Googleと私のデバイスの間では暗号化されています。

このサイトはStytchを使用しています。Stytch は、こ​​のための優れた SDK を作成し、一部の作業 (リンクやコードの実際の送信など) を処理できる会社ですが、独自のソリューションを作成することも簡単です。

これについてどう思いますか？安全？便利？未来の波？ぜひ下のコメント欄であなたのご意見をお聞かせください！