Então inicialmente o login do TabNews ia ser somente por email, ia ser "passwordless", mas depois de discutir numa issue que se a pessoa não conseguir receber o email, ela também não consegue logar, descartamos e acabamos implementando o modelo tradicional de senha. Mas o "passwordless" me agrada muito e ainda acho que deveríamos voltar com esse assunto.

Agora sobre essa parte:

Não consigo pensar em outra brecha, até pq vc só vai manter a sessão do usuário logada, não vai definir nada.

Não entendi muito bem, mas há um risco dessa sessão ser de um usuário privilegiado e daí o problema é bem maior.