ユーザー名とパスワードをURLの長いランダムテキストで置き換えることはできますか？

シナリオ

1人の顧客がユーザーの問題に直面しています。彼らは（ウェブ）サービスを年に数回使用しており、資格情報を頻繁に忘れます。標準のパスワード回復手順がありますが、それらの多くは、毎回カスタマーサービスに電話するだけです（所定のパスワードを生成するように要求します）。これにはいくつかの悪い影響があります：

• カスタマーサービススタッフはすべてのパスワードを知っています。
• ユーザーはカスタマーサービスを忙しくしています（そして、そうでない場合作業時間これらの通話はお客様にとって高価です）.

ご了承ください：

• ユーザーは自分の資格情報を意味のあるものに変更できますが、このサービスは年に2〜3回しか使用しないので、気にしないでください。
• 「記憶」チェックボックスを追加することは、法律で禁止されているため（この場合）、オプションではありません。
• サイトには非常に機密性の高い医療情報が保存されています。
• ハードウェアデバイス（スマートカードリーダーや指紋リーダーなど）がオプションにならないように、お客様はお金を節約したいと考えています。

質問

これらの問題を解決するために、ユーザーがユーザーごとに一意のIDを生成するように求められている場合、このIDをURLに追加して、そのユーザーを自動的に認証することができます。例えば：

http://www.example.com?user=abcdefg12345

ユーザーは、このIDを好きな場所に保存することを決定できます（デスクトップ上のリンク、ブラウザーのお気に入り、ポストイットにそれを書き留めます）が、お客様自身はその責任を負いません（「覚えておく」機能を提供できないため、法律の）。

私は認証トークン（前述のように、ユーザー名+パスワードタプルの代わりにCookieとして保存されます リクエストごとにユーザー名/パスワードの代わりに認証トークンを使用するのはなぜですか？ ）ではなく、URLパラメーターについて話しているのではありません。

仮定：

• この自動生成されたトークンは十分に長く（30〜60文字としましょう）、十分なランダム（大文字と小文字が混在する文字列）です。
• 基本的なセキュリティ対策が使用されます（不明なトークンとIPブラックリストの非常に長い遅延）。
• これらのIDを通常の資格情報とは別に保存し、（もちろん）ハッシュし、パスワードとは異なるアルゴリズム/パラメーターを使用します（その長さのため、さらに単純になるか、まだBcryptが必要ですか？！）
• 認証後にパラメータがURLから削除され、ユーザーがリダイレクトされます。

他に考えられないセキュリティ上の懸念はありますか？これにより認証が弱くなりますか？

私が考えることができる考えられる問題は、URLがブラウザの履歴に保存されていることです...

[〜＃〜]編集[〜＃〜]

もう少しコンテキスト：顧客は、ユーザーに関連付けられた固定（変更不可）トークンの独自のリストを保持します。彼らが彼のサービスを使用する必要がある直前に、彼は彼らに言及されたリンク（バッチで生成された個人化された電子メール）ですべての電子メールを送るでしょう。私の例では、プロトコルはHTTPですが、実際にはHTTPSです（これを制御できない場合でも）。

追加の質問：このトークンは一時的に役立ちますか？新しい電子メールが送信されるたびに、新しいトークンが生成されます（有効期限は比較的短く、1週間または2週間です）。