Det bliver aldrig helt sikkert uden at brugeren på en eller anden måde skal identificere sig. Så hvis brugeren ikke skal indtaste en kode, skal han verificeres på anden måde - eksempelvis med et certifikat på computeren.
Dit link sendes i "clear tekst". Dvs. at hvis e-mail'en opsnappes, eller ved en fejl videresendes, har andre adgang til din brugers konto.
Det bedste du kan gøre, efter min mening, er at oprette et midlertidigt ID, som du påfører en udløbs dato eller selv manuelt deaktiverer når det ikke skal kunne bruges mere.
Er det på engelsk en "token", som man har i sit link?
Hvad med brute force attacks, vil gerne sikker mine bruger, så man ikke bare kan taste password ind hele tiden. Nogle råd til dette? Fx. hvor mange gange, skal kontoen låses og hvor lang tid.
Men I svarede ikke på om I kan finde ud af og hacke, kunne godt senere bruge nogle som prøvede at få adgang til vores betatest.
Betal for en serviceydelse til nogle du IKKE kender? Brug nembankbox.dk
Hvad angår bruteforce, så er der ikke forskel på om passwordet (dit token) angives i linket eller et indtastningsfelt. Men hvis dit token eksempelvis er et GUID eller anden tilfældigt genereret værdi, bliver det enormt svært at bruteforce. Typisk gøres dette med et dictionary attach - dvs. forsøg på baggrund af en liste af ord- og tal-kombinationer.
God ide at begrænse antal login-forsøg - det vil reducere risikoen for succes med bruteforce.
Du kan benytte dig af adskillige værdier, hvis du ønsker og dermed gøre det ekstremt svært. Det kunne eksempelvis være en krypteret e-mail streng og et tilfældigt token. Jeg ville nok ikke bruge et krypteret password som også bruges på sitet, da denne nemmere kan dekrypteres.
hvor mange gange, skal kontoen låses og hvor lang tid.
Normalt siger man 3-5 gange og kontoen skal kun låses op når I er sikre på at det er den rigtige bruger.
Evt. kan I gøre det at ved første loginfejl er der en pause på 30 sekunder før man kan logge ind igen. Ved 2. loginfejl 2 minutters pause og ved 3 loginfejl bliver kontoen låst.