许多服务采用通过邮箱或手机接收6位数验证码的登录方式，这种方式存在严重安全隐患。攻击者可通过合法服务发送验证码，用户无法确认验证码是否用于正确平台，且密码管理器无法防范此类钓鱼攻击。已有案例显示，微软的《我的世界》账户因此被盗。

标题：我们用更糟糕的方式取代了密码 | 博客

主要内容：

越来越多的服务开始采用以下登录方式：

1. 输入电子邮件地址或手机号码。
2. 网站会发送一个6位数的验证码。
3. 使用该验证码登录。

请停止这种做法。

这种登录方式对账户安全极为不利：

1. 攻击者可以轻松利用这一机制：他们只需将你的电子邮件地址发送给合法服务，并请求一个6位数验证码。你无法确定这个验证码是否应该输入到正确的页面。即使使用密码管理器（通常用于防范钓鱼攻击），也无法提供帮助。
2. 实际案例：微软的《我的世界》账户登录系统采用了这种方式，已经导致许多账户被盗。其他相关案例也屡见不鲜。

总结：这种基于6位数验证码的登录方式不仅不安全，反而为攻击者提供了便利，亟需改进。

评论主要围绕无密码认证（如通过电子邮件发送一次性代码）的安全性和用户体验展开，观点多样且存在争议。

支持无密码认证的观点： 1. 减少密码泄露风险：部分评论者认为无密码认证比传统密码更安全，尤其是考虑到密码泄露和重复使用的问题。
- "They aren’t ideal but are they actually worse than passwords? I’d bet that on net, more compromises happen with previously-leaked passwords" (评论 3)
- "Still seems far, far more likely that the average user will have their account stolen via password theft/reuse than the more complicated scheme the author is describing." (评论 9)

2. 用户体验改进：无密码认证简化了登录流程，减少了用户记忆和管理密码的负担。
   • "It’s really about not having the responsibility of storing and maintaining passwords." (评论 6)
   • "I like passkeys on the Apple ecosystem" (评论 11)

反对无密码认证的观点： 1. 易受钓鱼攻击：评论者指出，通过电子邮件发送一次性代码的认证方式容易被钓鱼攻击利用，用户可能误将代码输入到恶意网站。
- "This is why 'email me a one-time code' is one of the worst authentication flows for phishing." (评论 7)
- "It’s pretty phishable. I think this is mostly solved, or at least greatly mitigated, by using a Slack-style magic sign-in link instead of a code." (评论 13)

2. 强制推行问题：部分用户对强制使用无密码认证感到不满，认为应保留传统密码或社交登录选项。
   • "What’s quite annoying is how agressive most products are into forcing this method over regular email+pw / Social Logins." (评论 16)
   • "Let me use my 100 chars password!" (评论 16)

改进建议： 1. 使用链接代替代码：一些评论者建议使用点击链接的方式代替输入代码，以减少钓鱼攻击的风险。
- "Links instead of codes also fixes the issue." (评论 9)
- "A phisher would have to get the user to copy-paste the URL from the email into their UI, instead of clicking the link or copy-pasting it into the address bar." (评论 13)

2. 推广Passkeys：Passkeys被认为是一种更安全的替代方案，尽管其生态系统尚不成熟。
   • "Passkeys is the way to go. Password manager support for passkeys is getting really good." (评论 7)
   • "I’d love to see the future where passkeys are the only way to log into most websites." (评论 13)

其他问题： 1. 用户体验问题：无密码认证可能导致用户在设备间切换，影响登录效率。
- "Indeed, such a bad design where instead of a simple and quick 1-shortcut login from a fishing-resistant password manager users have to waste time switching back and forth between different apps/devices." (评论 15)

2. 设计缺陷：部分网站的设计可能导致用户在取消订阅后无法登录。
   • "Some sites make this into a problem accessing their site by having an unsubscribe that doesn’t account for this login method." (评论 14)

总结：无密码认证在减少密码泄露风险和改进用户体验方面具有优势，但其易受钓鱼攻击和强制推行的问题引发了争议。改进方案包括使用链接代替代码和推广Passkeys，同时需解决用户体验和设计缺陷等问题。