Was ist eine passwortlose Authentifizierung und wie man sie implementiert?

Verabschieden Sie sich vom Alter der Passwörter! Sicherheit und Bequemlichkeit der passwortfreien Authentifizierung

Kernpunkte:

• kennwortlose Authentifizierung ist eine Benutzerverwaltungsmethode, die die Identität eines Benutzers durch Eigentümer oder inhärente Faktoren wie Biometrie überprüft, anstatt wissensbasierte Faktoren wie Passwörter zu verwenden. Zu den gängigen passwortfreien Methoden gehören einmalige Verifizierungscodes, magische Links, biometrische Anmeldungen, Smartcards und digitale Zertifikate.
• Kennwortlose Authentifizierung Wesentliche Vorteile für Sicherheit und Benutzererfahrung. Die kennwortlose Authentifizierung wird voraussichtlich bis 2027 die Kennwort verwenden.
• Während die kennwortfreie Authentifizierung viele Vorteile hat, hat sie auch einige Einschränkungen, wie z. Es wird empfohlen, die Multi-Factor-Authentifizierung (MFA) für eine verbesserte Sicherheit so weit wie möglich zu verwenden.
• Implementierung einer kennwortlosen Authentifizierung auf einer Website oder Anwendung kann über eine Benutzerverwaltungslösung oder einen Authentifizierungsdienstanbieter erreicht werden. Dieser Artikel enthält eine Schritt-für-Schritt-Anleitung zum Integrieren eines passwortlosen Ansatzes mit einem Anbieter namens Frontegg.

kennwortlose Authentifizierung ist eine Benutzerverwaltungsmethode, bei der sich Benutzer ohne Kennwort oder Schlüssel beim System oder der Anwendung anmelden können. Es überprüft die Identität des Benutzers durch Eigentumsfaktoren wie E-Mail-Konten oder inhärente Faktoren wie Gesichtserkennung, anstatt wissensbasierte Faktoren wie Passwörter zu verwenden.

Dieser Artikel wurde in Zusammenarbeit mit Frontegg erstellt. Vielen Dank, dass Sie die Partner unterstützt haben, die SitePoint ermöglicht haben.

Viele Authentifizierungsmethoden werden als Alternativen zu Kennwörtern verwendet:

• einmaliger Überprüfungscode (OTC)
• Magic Link
• Biometrisches Login (Fingerabdruck, Gesichts -ID, Spracherkennung)
• Smart Card oder Physical Token
• digitales Zertifikat

Popularität der passwortfreien Authentifizierung

Sie haben möglicherweise "passwortlose Authentifizierung" verwendet, ohne sie zu wissen. Viele Bankanwendungen verwenden Fingerabdruck und Spracherkennung, um Benutzer zu überprüfen. Slack ist dafür bekannt, magische Links zu verwenden, um Benutzer zu überprüfen.

Die Verwendung einer passwortlosen Authentifizierung ist in den letzten Jahren stetig gewachsen. Auth0, ein Authentifizierungsanbieter, prognostiziert, dass die passwortlose Authentifizierung im Jahr 2027 das Kennwort verwendet. Gartner sagt voraus, dass bis 2022 60% der großen und globalen Unternehmen und 90% der mittelgroßen Unternehmen in mehr als 50% der Anwendungsfälle einen passwortlosen Ansatz implementieren werden-gegenüber 5% im Jahr 2018. "

Die Internetgiganten tun auch ihr Bestes, um die Einführung dieser Technologie zu beschleunigen. Am World Password Day 2022 kündigten Google, Microsoft und Apple Pläne zur Erweiterung der Unterstützung für den erstellten universellen kennwortfreien Login-Standard an.

Im Juni 2022 kündigte Apple seine neue "Passwortschlüssel" -Funktion für die Anmeldung auf Websites und Anwendungen an. Diese Ankündigung bedeutet tatsächlich, dass Apple Touch -ID oder Gesichts -ID verwendet, um einen digitalen Schlüssel für die Website zu erstellen. Dadurch wird die Notwendigkeit beseitigt, Passwörter zu erstellen und zu schreiben.

Vorteile der passwortfreien Authentifizierung

kennwortlose Authentifizierung bietet Sicherheits- und Benutzererfahrungsvorteile:

1. Reduzieren Sie das Risiko von Phishing- und Kennwortdiebstahl: Benutzer werden nicht von Phishing -Angriffen betroffen, wobei Benutzer zu gefälschten Websites gebracht werden und ihre Anmeldeinformationen eingeben. Wenn Benutzer ihre Passwörter nicht eingeben, werden sie nicht von Brute -Force -Angriffen, Verstößen gegen Kennwortdaten und anderen Arten von Diebstahlsarten betroffen.
2. Reduzieren Sie die Wiederverwendung von Anmeldeinformationen: Wiederverwenden von Kennwörtern in mehreren Diensten und Konten stellt ein größeres Risiko für Benutzer und Ihr System dar, was unvermeidbar ist. Es wird berichtet, dass 64% das gleiche Passwort verwenden, das für andere Konten in einer Sicherheitsanfälligkeit aufgedeckt wurde.
3. Sie müssen sich keine Kennwörter erinnern: Ihre Benutzer müssen sich nicht für die Benutzernamen und Passwörter für zahlreiche Konten erinnern. Manchmal müssen sie nach mehreren Anmeldefehlern ihre Passwörter immer wieder zurücksetzen.
4. schnellere Anmeldegeschwindigkeit: Wir sind alle sehr beschäftigt. Es wird empfohlen, dass ein starkes Passwort mindestens 16 Zeichen lang ist, und es dauert lange, bis ein starkes Passwort im Vergleich zum Scannen eines Fingerabdrucks oder zum Öffnen eines magischen Links eingeht.

Einschränkungen der passwortfreien Authentifizierung

passwortlose Authentifizierung ist nicht perfekt und hat auch einige Einschränkungen aus Sicherheit und Erfahrung.

• Unbekannte Benutzererfahrung: Viele Personen sind es gewohnt, Passwörter einzugeben oder automatisch zu füllen. Das Konvertieren auf magische Links oder einmalige Überprüfungscodes kann Benutzer schockieren.
• Risiko für gestohlene Geräte oder SIM-Karte gestohlen: Senden eines einmaligen Überprüfungscodes per SMS kann Ihre Benutzer anfällig machen, wenn ihr Telefon gestohlen wird oder Opfer von SIM-Karten-gestohlenen Betrügereien wird.
• Biometrische Sicherheit ist nicht perfekt: Fingerabdruckscanner, Touch -IDs und Gesichts -IDs wurden im Laufe der Jahre erfolgreich geknackt.

auf einen einzelnen Faktor für die Authentifizierung (mit oder ohne Kennwort) kann ein gewisses Risiko mit sich bringen. Wir empfehlen, die Multi-Faktor-Authentifizierung (MFA) so weit wie möglich zu verwenden.

Ist eine passwortfreie Authentifizierung sicher?

Ja, passwordfreie Authentifizierung wird als sicher angesehen, ist jedoch nicht vollständig risikofrei. Konten ohne Passwörter müssen sich keine Sorgen über Passwörter machen, die in die Hände bösartiger Personen fallen. Dies könnte durch Datenverletzungen, Brute-Force-Angriffe, Geräteverluste oder verlegtes Nach-It-Notizen geschehen.

Viele der mit einer passwortlosen Authentifizierung verbundenen Risiken gelten auch für andere Methoden.

Wenn Hacker Zugriff auf Ihr E-Mail-Konto haben und Sie magische Links zur kennwortfreien Authentifizierung verwenden, können sie sich problemlos anmelden. Dieses Risiko ist jedoch das gleiche, wenn Sie ein reguläres Passwort verwenden. Der böswillige Schauspieler muss lediglich auf "Passwort zurücksetzen" klicken und den Link Reset an dieselbe E -Mail -Adresse senden.

Schließlich sind wie in jedem anderen System passwortlose Authentifizierungssysteme anfällig für direkte Angriffe, um Sicherheitsmaßnahmen zu untergraben oder zu umgehen. Egal wie sicher Sie sind, das System, das Ihre Anmeldeinformationen speichert und überprüft, wird niemals vollständig sicher sein.

Fingerabdrucküberprüfung und andere biometrische Faktoren sind schwerer zu betrügen, aber nicht unmöglich und bieten einen sehr sicheren Weg, sich selbst zu autorisieren.

Passwortlose Authentifizierung und Multi-Faktor-Authentifizierung (MFA)

Multifaktorauthentifizierung ist eine Möglichkeit, mehrere Authentifizierungsfaktoren beim Anmelden zu verwenden. Ein sehr häufiges Beispiel für diese Situation ist, wenn Sie sich mit einem Benutzernamen und einem Passwort bei Ihrem Konto anmelden, erhalten Sie einen 6-stelligen einmaligen Überprüfungscode (OTC), um das Eigentum an Ihrem Gerät zu bestätigen.

In diesem Beispiel ist der OTC -Faktor kennwortlos. Wenn Sie stattdessen Fingerabdruck und einmaligen Überprüfungscode verwenden, haben Sie ein vollständig passwortloses MFA-Setup.

So implementieren Sie eine kennwortlose Authentifizierung auf Ihrer Website

Es ist einfacher als je zuvor, eine kennwortlose Authentifizierung in Ihre Anwendung oder Website zu integrieren. Abhängig von Ihrer vorhandenen Infrastruktur haben Sie jetzt viele Optionen:

• Benutzerverwaltungslösungen: Diese Anbieter bieten vollständig verwaltete Dienste an, die nicht nur eine herkömmliche und kennwortfreie Authentifizierung, sondern auch Benutzerverwaltung und Berechtigungsverwaltung bieten.

  • Wenn Sie verwendet werden: Neues Systembau, Startups und Teams, die alle Entwicklungsbemühungen mit niedrigem Wert und hohem Risiko vermeiden möchten.
  • Wenn Sie nicht verwenden: Wenn Sie eine sehr angepasste Reihe von Authentifizierungs- oder Benutzerverwaltungsanforderungen haben, sind diese Anforderungen möglicherweise nicht für ihr System geeignet.
  • Anbieter: Frontegg, Okta/Auth0, FusionAuth, Trusona, Appwrite

• Authentifizierungsdiensteanbieter: Diese Dienste bieten Benutzerauthentifizierung, Zugriffsmanagement und anderen Diensten wie Sitzungsmanagement.

  • Wenn Sie verwendet werden: Sie verfügen über einen vorhandenen Benutzerverwaltungsdienst und möchten, dass jemand Passwörter und Authentifizierung handhaben.
  • Wenn Sie nicht verwenden: Sie verfügen über begrenzte Entwicklungserfahrung oder Ressourcen. Wenn Sie ein einfaches Modell für Identitäts- und Zugriffsmanagement haben, sollten Sie die oben erwähnte vollständig verwaltete Lösung berücksichtigen.
  • Anbieter: AWS Cognito, Google Identity Platform, Microsoft Azure AD

Passwortlose Authentifizierung mit React - Schnelles Tutorial

Um zu demonstrieren, wie einfach es ist, Ihren Benutzern einen passwortlosen Ansatz vorzustellen, führen wir Sie mit einem Anbieter namens Frontegg durch ein 5-minütiges Tutorial. Eine Self-to-End-Benutzerverwaltungsplattform für Self-to-End-Benutzerverwaltung bietet zusätzlich zu anderen Benutzerverwaltungsfunktionen auch mehrere kennwortfreie Anmeldemethoden.

Das Erstellen von Anmeldungs- und Authentifizierungsdiensten ist zeitaufwändig und bietet keinen Mehrwert für den Benutzerprozess. Wenn Sie jedoch etwas falsch machen, kann dies Schaden verursachen. Da Dienste, die eine Authentifizierung bieten, besser und billiger werden, gibt es nicht viel Grund, Ihr eigenes Passwortüberprüfungssystem für Ihre Anwendung zu erstellen.

1. Erstellen Sie Ihr kostenloses Frontegg -Konto

Erstellen Sie Ihr Frontegg -Konto über ihre Website. Stellen Sie sicher, dass Sie einen magischen Code oder einen magischen Link als passwortlose Option beim Starten auswählen!

2. Starten Sie den Integrationsprozess

Nach Abschluss der Erstellung des Anmeldefelds und der Auswahl der passwortlosen Methode sehen Sie eine Option "zur Entwicklung veröffentlichen".

Frontegg -Nutzungsumgebungen (Entwicklung, Qualitätssicherung, Inszenierung, Produktion), diese Umgebungen haben einzigartige Subdomains, Schlüssel und URLs für Ihre Authentifizierungsumgebung.

Sie werden nun zu einer Seite mit einem Beispielcode und vor allem Ihrem baseURL und clientID aufgenommen. Bitte halten Sie diese Seite offen und gehen Sie zu Ihrer IDE, um zum nächsten Schritt fortzufahren.

3. React -Anwendung erstellen (überspringen Sie diesen Schritt, wenn Sie bereits eine eigene Anwendung haben)

Geben Sie den folgenden Befehl in Ihr Terminal ein, um eine neue React -Anwendung zu erstellen und zu einem neuen Verzeichnis zu navigieren.

<code>npx create-react-app app-with-frontegg
cd app-with-frontegg</code>

4. installieren und importieren Sie Frontegg

Führen Sie den folgenden Befehl aus, um die Frontegg React Library und den React-Router zu installieren. Wenn React-Router bereits in Ihrer Anwendung installiert ist, können Sie die Installation überspringen.

<code>npm install @frontegg/react react-router-dom</code>

5. Konfigurieren Sie die Anmeldeeinstellungen

In der Datei src/index.js den folgenden Code hinzufügen. Gehen Sie dann zurück zu Ihrer Frontegg -Seite und finden Sie baseUrl und clientID aus dem Code -Beispiel.

Hinweis: Nach Abschluss dieses Einführungsvorgangs finden Sie diese Werte immer im Abschnitt Verwaltungsabschnitt Ihres Arbeitsbereichs.

<code class="language-javascript">import React from 'react';
import ReactDOM from 'react-dom'; // For react 17
// For react 18: import ReactDOM from 'react-dom/client';
import App from './App';
import './index.css';

import { FronteggProvider } from '@frontegg/react';

const contextOptions = {
  baseUrl: '## YOUR BASE URL ##',
  clientId: '## YOUR CLIENT ID ##'
};

// For react 18: 
// const root = ReactDOM.createRoot(document.getElementById('root'));
// root.render(
ReactDOM.render(
    <fronteggprovider contextoptions="{contextOptions}" hostedloginbox="{true}">
        <app></app>
    </fronteggprovider>,
    document.getElementById('root')
);</code>

6. zur Anmeldeseite

   umleiten

Verwenden des Frontegg UseAumh Hook können Sie feststellen, ob der Benutzer authentifiziert wurde. Wenn der Benutzer nicht authentifiziert ist, können Sie den UseloginWitHredirect -Hook verwenden, um den Benutzer auf die Anmeldeseite umzuleiten (wie im folgenden Beispiel gezeigt).

 <code class="language-javascript"> import './app.css';
// {useeffect} aus 'react' importieren;
import {contextHolder} aus '@Frontegg/rast-api';
importieren {
  UseAuth, Useloginwitredirect
} von "@Frontegg/react";

Funktion App () {
  const {user, isauthenticated} = useAuth ();
  const loginwitredirect = useloginwitredirect ();
  // DIESEM WERTEN, um sich automatisch anzumelden, um sich zu leiten
  // useEffect (() = & gt; {
  // if (! isauthenticated) {
  // loginWitHedirect ();
  //}
  //}, [isauthenticated, loginWitHredirect]);
  const logout = () = & gt;
    const baseUrl = contextHolder.getContext (). BaseUrl;
    window.location.href = `$ {BaseUrl}/oAuth/logout`
                            `? post_logout_redirect_uri =`
                            `$ {window.location}`;
  };
  Zurückkehren (
    <div classname="App">
      {isauthenticated?
        <div>
          <div>
            <img src="https://img.php.cn/upload/article/000/000/000/173916230294882.jpg" alt="What is Passwordless Authentication and How to Implement it "> 
<p> Klicken Sie auf "Register", gehen Sie zu Ihrer E -Mail und klicken Sie auf "Aktivieren Sie mein Konto". </p>
<p> <img src="https://img.php.cn/upload/article/000/000/000/173916230376786.jpg" alt="What is Passwordless Authentication and How to Implement it "> </p>
<p> Wenn Sie sich anmelden möchten, müssen Sie nur Ihre E-Mail eingeben und darauf warten, dass der sechsstellige Bestätigungscode zum Anmeldung eintaucht. Kein Passwort erforderlich, keine Sorgen. </p>
<p> <strong> Schlussfolgerung </strong> </p>
<p> Ich hoffe, dieser passwortlose Authentifizierungshandbuch hilft Ihnen nicht nur zu verstehen, wie einfach diese Technologie ist, sondern auch, wie wichtig sie in den kommenden Jahren werden wird. </p>
<p> <strong> Passwortlose Authentifizierung FAQ (FAQ) </strong> </p>
<h3> Was sind die Hauptvorteile einer passwortlosen Authentifizierung? </h3>
<p> Passwortlose Authentifizierung bietet mehrere Vorteile. Erstens verbessert es die Benutzererfahrung, da Benutzer sich nicht mehr an komplexe Kennwörter erinnern müssen. Zweitens verbessert es die Sicherheit, indem es kennwortbezogene Schwachstellen wie Brute-Force-Angriffe, Wörterbuchangriffe und Phishing beseitigt. Schließlich senkt es die Betriebskosten, da Unternehmen nicht mehr in die Wiederherstellung von Kennwortwiederholungen investieren und Programme zurücksetzen müssen. </p>
<h3> Wie funktioniert die passwortlose Authentifizierung? </h3>
<p> passwortlose Authentifizierung überprüft die Identität des Benutzers mit anderen Faktoren als Passwörtern. Diese Faktoren können etwas sein, das der Benutzer kennt (z. B. eine PIN), etwas, das der Benutzer (z. B. ein mobiles Gerät) oder etwas, das der Benutzer selbst (z. B. einen Fingerabdruck) hat. Das System sendet einen einmaligen Code oder einen Link zum Gerät des Benutzers, und der Benutzer greift auf oder klickt auf den Code oder den Link, um Zugriff zu erhalten. </p>
<h3> Ist eine kennwortfreie Authentifizierung sicher? </h3>
<p> Ja, eine passwortlose Authentifizierung ist normalerweise sicherer als herkömmliche kennwortbasierte Authentifizierung. Es entfernt das Risiko von passwortbezogenen Angriffen und Schwachstellen. Wie bei allen anderen Sicherheitsmaßnahmen ist es jedoch nicht vollständig narrensicher und sollte in Verbindung mit anderen Sicherheitsmaßnahmen für einen optimalen Schutz verwendet werden. </p>
<h3> Kann eine kennwortfreie Authentifizierung für alle Arten von Anwendungen verwendet werden? </h3>
<p> kennwortlose Authentifizierung kann in einer Vielzahl von Anwendungen verwendet werden, einschließlich Webanwendungen, mobiler Anwendungen und sogar IoT -Geräte. Die Anwendbarkeit der kennwortlosen Authentifizierung hängt jedoch von den spezifischen Anforderungen und Sicherheitsanforderungen der Anwendung ab. </p>
<h3> Was sind die Herausforderungen bei der Implementierung einer kennwortfreien Authentifizierung? </h3>
<p> Implementierung einer passwordfreien Authentifizierung kann einige Herausforderungen darstellen. Dazu gehören die Akzeptanz von Benutzern, da einige Benutzer sich den Veränderungen widersetzen können, da sie wesentliche Änderungen an der vorhandenen Authentifizierungsinfrastruktur erfordern. </p>
<h3> Wie implementiere ich eine kennwortlose Authentifizierung in meiner Anwendung? </h3>
<p> Implementierung einer kennwortfreien Authentifizierung umfasst mehrere Schritte. Zunächst müssen Sie den richtigen Authentifizierungsfaktor (z. B. Biometrie oder mobile Geräte) auswählen. Zweitens müssen Sie diesen Faktor in Ihren Authentifizierungsprozess integrieren. Schließlich müssen Sie Ihre Benutzer über neue Authentifizierungsmethoden und deren Vorteile informieren. </p>
<h3> Was sind einige Beispiele für passwortlose Authentifizierung? </h3>
<p> Beispiele für die kennwortfreie Authentifizierung sind die biometrische Authentifizierung (wie Fingerabdruckscannen oder Gesichtserkennung), mobile Geräteauthentifizierung (wie SMS-Codes oder Push-Benachrichtigungen) und Hardware-Token (wie Sicherheitsschlüssel). </p>
<h3> Ist eine passwortlose Authentifizierung in Zukunft eine Zukunft der Online -Sicherheit? </h3>
<p> Viele Experten glauben, dass die passwortfreie Authentifizierung in Zukunft die Zukunft der Online-Sicherheit ist. Wenn die mit Kennwörtern verbundenen Einschränkungen und Risiken immer offensichtlicher werden, wenden sich immer mehr Unternehmen der kennwortfreien Authentifizierung zu, um die Sicherheit zu verbessern und die Benutzererfahrung zu verbessern. </p>
<h3> Kann eine kennwortfreie Authentifizierung in Verbindung mit anderen Sicherheitsmaßnahmen verwendet werden? </h3>
<p> Ja, eine passwortlose Authentifizierung kann und sollte in Verbindung mit anderen Sicherheitsmaßnahmen für einen optimalen Schutz verwendet werden. Dazu gehören Verschlüsselung, sichere Codierungspraktiken und regelmäßige Sicherheitsaudits. </p>
<h3> Welche Rolle spielt Benutzer in der passwortlosen Authentifizierung? </h3>
<p> Benutzer spielen eine wichtige Rolle bei der kennwortfreien Authentifizierung. Sie müssen ihre Authentifizierungsfaktoren (wie ihre mobilen Geräte oder biometrischen Daten) schützen und potenzielle Sicherheitsbedrohungen verstehen. Sie müssen auch mit neuen Authentifizierungsmethoden zufrieden sein, um sich selbst zu schützen. </p>
</div>
</div>
</div></code>

Das obige ist der detaillierte Inhalt vonWas ist eine passwortlose Authentifizierung und wie man sie implementiert?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!