这是合理的。从安全的角度来看，这是合理的。我认识一些从不写下 Web 服务器密码的人。他们每次想登录时只需使用“忘记密码”链接。

从可用性的角度来看，这可能有点不幸，因为电子邮件不是即时的。用户必须点击“给我发电子邮件”，然后等待电子邮件出现，然后点击他们电子邮件中的链接。不幸的是，如果用户必须等待几分钟（甚至只是 15 秒）才能显示电子邮件，他们可能会生气、放弃并去做其他事情——或者去找你的竞争对手。

进一步的改进。 可以进一步改进这个想法，以减少可用性影响。当用户单击电子邮件中的链接时，您可以在他们的浏览器上设置一个持久的安全 cookie。结果是，当用户单击链接时，他们就进入了，并且他们将来不需要在这台计算机上再次通过 rigamarole（除非他们清除密码）。以后从同一台计算机访问时，站点将自动识别它们，无需单击登录或链接。

这对于需要防止用户的室友登录他们的帐户的高安全性服务（如在线银行）来说是不合适/不够的——但对于大多数网站来说可能没问题。

评估。这是一篇研究论文，调查了这种方法，并发现它可以提高针对论文中评估的攻击的安全性：

克里斯·卡洛夫、JD Tygar 和大卫·瓦格纳。 条件安全仪式和 Web 身份验证应用程序的用户研究。NDSS 2009。

这看起来像 OpenID，但更糟糕的是：

它从 OpenID 继承了以下问题：

• 您每次都输入主密码。如果您使用的是不太受信任的 PC，您可能只想登录低安全性帐户，而不是您的电子邮件
• 您的电子邮件提供商会注意到每次登录

它比 OpenID 增加了一些缺点：

• 登录更麻烦

这让我想起了 2 因素身份验证方案，例如向预先注册的手机发送密码以进行身份​​验证的网站。

我在上面没有真正看到的一件事是这有什么好处？对于用户来说，这当然是更多的工作。即使是初始注册确认电子邮件也会惹恼人们。每次我想登录时，你都会污染我的收件箱。我每天至少登录一次我的网上银行（他们会在 10 分钟后将你注销）。我会收到您发送的数千封“登录”电子邮件。有时，电子邮件传递速度很慢。您希望我等待大约 5 分钟才能登录您的网站，因为 GMail 恰好需要一段时间。您的服务的正常运行时间现在与全球邮件服务的正常运行时间相关联。

这个方案的问题是，它真的什么也得不到。绝大多数人对大多数服务使用相同的密码。所以你强迫我登录我的电子邮件以获得一个链接，该链接将我带到一个我刚刚使用初始密码开始的地方。它还引入了一个弱点，因为它是窃听的新场所。现在，我可以使用我们的共享密钥（密码）并通过 HTTPS 连接。攻击者对我是谁、我的密码等一无所知。使用您的方案，每次登录都需要以明文形式传输此身份验证链接。

由于密码重置，出现了许多引人注目的违规行为。我相信最近最大的是莎拉佩林（尽管公平地说她是通过安全问题）。密码重置通常很糟糕，我们不应该鼓励更多地使用它们。

您的出发点是正确的：大多数“忘记密码”设施都是身份验证过程中的薄弱环节（或最薄弱的环节）。

但是，您为每次登录执行类似“忘记密码”协议的想法实际上类似于许多双因素身份验证方案中的第二个因素，例如 RSA 令牌。您已经可以获得在软件中而不是在专用硬件中生成登录标识符的“软令牌”。（这样您就可以在您的 iPhone 上运行它，而不是整天在口袋里随身携带一个硬令牌。）

我只看到该方案与您的方案之间的两个概念差异：

1. 你有第二个因素（“你拥有的东西”），但没有第一个因素（“你知道的东西”）。所以它仍然是一个单因素身份验证方案。
2. 您正在按需生成标识符并将它们发送给用户。相比之下，无论是否使用，RSA 令牌都会不断生成标识符，并且不会向用户传输（除了第一次将设备提供给用户时的第一次物理切换）。

与典型的 2 因素方案相比，这两种差异都削弱了安全性。

通过不使用未加密的电子邮件，您可以使方案更加安全。您可以发送 S/MIME 电子邮件或完全使用其他加密协议（例如，如果客户端有 iPhone，则使用 Apple 推送通知系统）。

总的来说，这是一个有趣的思考练习，但我认为加强“忘记密码”协议的难度会更好。或者，根据您的用例，也许您可​​以完全删除自动密码重置并使用可以阻止攻击者的策略，例如拨打 800 号码来重置忘记的密码。

我不同意发帖者的说法，“从安全角度来看，这是合理的。” 我认为您的方案只是将一种不安全的安全协议换成另一种不安全的安全协议。