Sempre più servizi permettono di accedere senza password, usando un link inviato via email. Il sistema è rapido, intuitivo e riduce il numero di credenziali da ricordare. Proprio per questo viene adottato con leggerezza, soprattutto su smartphone. Dietro questa apparente semplicità, però, si nasconde un rischio poco considerato legato alla gestione della posta elettronica e dei dispositivi collegati.
Come funzionano i cosiddetti magic link
Il meccanismo è lineare: si inserisce l’indirizzo email, si riceve un messaggio e si tocca il link per accedere. Quel collegamento sostituisce la password ed è valido per un periodo limitato. In teoria è sicuro, perché temporaneo. In pratica, tutto dipende da chi può leggere quell’email.
Se la casella di posta è accessibile da più dispositivi, sincronizzata su computer condivisi o protetta in modo debole, il link diventa una chiave pronta all’uso. Non serve indovinare nulla: basta aprire il messaggio giusto al momento giusto.
Smartphone e notifiche sempre visibili
Sul telefono il rischio aumenta. Le notifiche email mostrano spesso anteprime con il contenuto del messaggio. In alcuni casi il link è direttamente cliccabile dalla notifica, senza nemmeno aprire l’app. Questo significa che chi ha accesso fisico allo smartphone sbloccato può intercettare l’accesso in pochi secondi.
Inoltre, molte app email restano sempre attive. Un link aperto per errore o in un contesto poco sicuro può concedere accesso completo a un servizio sensibile, senza lasciare segnali evidenti.
Quando il problema emerge davvero
Il pericolo non è immediato e proprio per questo viene sottovalutato. Gli accessi avvengono senza errori di login o tentativi sospetti. Dal punto di vista del servizio, l’accesso è legittimo. Questo rende più difficile accorgersi di una intrusione, soprattutto se non vengono inviate notifiche di nuovo accesso.
Il rischio cresce se l’email viene usata come centro di recupero per altri account. Un singolo magic link può aprire una catena di accessi successivi.
Come ridurre l’esposizione
Proteggere l’email con autenticazione a due fattori è fondamentale. Limitare le anteprime nelle notifiche e controllare i dispositivi collegati alla casella riduce il rischio. Anche preferire servizi che affiancano il link a una conferma aggiuntiva migliora la sicurezza complessiva.
Il login senza password è comodo, ma funziona solo se l’email è davvero sotto controllo. In caso contrario, la scorciatoia diventa un varco silenzioso.
