Warum eine passwortlose Authentifizierung funktioniert

Verabschieden Sie sich von Ihrem Passwort! Vorteile und Praktiken der passwortlosen Authentifizierung

Kennwortfreie Authentifizierung verwendet sichere persönliche Kommunikationstools wie E-Mail- und Textnachrichten, um eine sicherere und freundlichere Alternative zu herkömmlichen kennwortbasierten Systemen bereitzustellen. Es speichert Benutzer vor dem Erstellen und Erinnern von Kennwörtern. Es gibt keinen Kennwortspeicher, der gehackt oder erraten werden kann.

Vorteile der passwortlosen Authentifizierung:

• Sicherheit: Sie müssen keine Passwörter speichern, wodurch das Risiko beseitigt wird, dass Passwörter geknackt oder vermutet werden. Selbst wenn die Informationen abgefangen werden, erhält der Angreifer nur einen der Token und kann sich nicht anmelden.
• Kosteneffizienz: Entwicklung und Bereitstellung erfordern weniger Code, und Supportteams müssen sich nicht mit verschiedenen kennwortbezogenen Problemen befassen, wodurch die Betriebskosten gesenkt werden. Besonders geeignet für Anwendungen, bei denen die Sitzungszeitüberschreitungen lang sind oder Benutzer nur gelegentlich zugreifen müssen.
• Benutzererfahrung: Benutzer müssen ihre Passwörter nicht erstellen oder sich daran erinnern, und der Anmeldungsprozess ist einfacher und schneller.

Prinzip der Passwort unsichtbare Authentifizierung:

Wir verwenden dieselbe Authentifizierungsmethode wie der Beginn des Internets. Leider werden Passwörter zunehmend anfällig für Brechen:

• Die Passwortstärke ist im Allgemeinen nicht ausreichend. Die Umfrage zeigt, dass jeder von 10 Konten eines der zwanzig beliebtesten Passwörter verwendet. "123456" wird von mehr als 4% der Konten verwendet. "Passwort" ist immer noch eines der am häufigsten verwendeten Passwörter.
• Benutzer verwenden das gleiche schwache Kennwort auf mehreren Websites. Wenn ein Hacker das Facebook -Konto eines Menschen durchbricht, kann er wahrscheinlich auch auf sein PayPal -Konto zugreifen. Ihre Passwortsicherheit hängt von der Sicherheit des schwächsten Systems ab, das Sie verwenden.
• Unternehmensdatenverletzungen werden immer häufiger und haben die Aufmerksamkeit der Mainstream -Medien auf sich gezogen. Es kann die Menschen leicht berühmt machen, sich revanchieren oder erpresst werden. Nur wenige Unternehmen sind auf Cyber ​​-Terrorismus vorbereitet, und obwohl sie oft behauptet, "kontinuierlich komplexe Angriffe" zu sein, sind viele Sicherheitsverletzungen einfache SQL -Injektionen, die durch schlechte Entwicklungstechnologie verursacht werden.
• Aus der Codierungsperspektive ist die Authentifizierung umständlich und fehleranfällig. Das Überprüfen von Anmeldeinformationen ist nur der Beginn des Problems: Sie müssen sicherstellen Scheinen sich richtig zu erinnern oder kurze Zeichenfolgen verwirrender Benutzer zu unterstützen.
• Andere Lösungen wie Biometrie oder OAuth stützen sich auf Hardware oder ein geeignetes Social -Media -Konto. Nur wenige Websites implementieren es gut und müssen noch die E -Mail/Passwort -Methode für einige Benutzer wiederherstellen.

Die passwortfreie Authentifizierung ist die Voraussetzung, dass das Kennwort, wenn die meisten Benutzer ein sicheres persönliches Kommunikationskonto haben (z. B. E-Mail- und Textnachrichten), unnötig ist. Anwendungen können diese Systeme nutzen:

1. Der Benutzer besucht die Website und gibt eine ID (z. B. eine E -Mail -Adresse) zum Anmelden ein.
2. Das System sendet eine Nachricht mit einem Link zum Benutzer.

Mit anderen Worten, die Anwendung erstellt ein zufälliges einmaliges Passwort und informiert den Benutzer leise, wenn sie Zugriff benötigt. Dies ähnelt dem Prozess des Zurücksetzens Ihres Kennworts - viele Benutzer tun dies jedes Mal, wenn sie sich sowieso anmelden! E -Mail ist eine offensichtliche Wahl, aber jeder andere Messaging -Service kann verwendet werden - wie SMS, Slack, Skype, Sofortnachricht und sogar Twitter -Direktnachrichten. Wenn Sie sich nicht auf ein einzelnes System verlassen möchten, stehen mehrere Optionen zur Verfügung. Hinter den Kulissen wäre es etwas komplizierter, um sicherzustellen, dass nur eine Person den Login -Link verwenden kann. Der allgemeine Prozess ist wie folgt:

1. Der Server überprüft, ob das Konto mit der E -Mail -Adresse vorhanden ist.
2. Der Server erstellt zwei Token (z. Das erste Token wird an das Anmeldegerät zurückgeschickt - normalerweise als Browser -Cookie. Das zweite Token wird in einem Link codiert, der per E -Mail an den Benutzer gesendet wird.
3. beim Klicken auf den Link empfängt der Server zwei Token und überprüft sie basierend auf einem einzelnen Anmeldemversuch. Es besteht die Möglichkeit, weitere Überprüfungen durchzuführen, um sicherzustellen, dass der Link innerhalb von Minuten geklickt wird und dass sich die IP -Adresse und die Browser -Benutzeragenten -String nicht geändert haben.
4. Wenn alle Überprüfungen übergeben werden, wird eine echte Sitzung gestartet und der Benutzer meldet sich an. Wenn ein Schritt fehlschlägt, sind alle zugehörigen Token ungültig.

Anwendbare Szenarien für die kennwortlose Authentifizierung:

Obwohl die Anmeldezeit etwas länger ist - ist dies ungefähr zur gleichen Zeit wie die Verwendung eines Passwort -Managers! Kennwortfreie Authentifizierung kann auf Anwendungen angewendet werden, bei denen Timeouts für Sitzungen lang sind oder Benutzer nur gelegentlich besuchen müssen, z. B. Einkaufswebsites, soziale Netzwerke, Foren, Ticketing-Systeme und Content-Management-Systeme. Es scheint seltsam, es für ein Messaging -System zu verwenden, da Sie ein anderes System benötigen, um sich anzumelden! Sie möchten auch nicht, dass sich Ihre Bank für ihre Sicherheit ausschließlich auf AOL verlässt, obwohl der Hilfsauthentifizierungsprozess sie ergänzen kann. Wenn Sie eine neue Anwendung erstellen, sollten Sie eine kennwortfreie Authentifizierung verwenden. Das Problem der Aktualisierung vorhandener Anwendungen (viele Benutzer haben derzeit Passwörter). Ich empfehle, eine passwordfreie Authentifizierung parallel auszuführen, anstatt über Nacht auf den neuen Anmeldevorgang zu wechseln. Bieten Sie es als Option an - insbesondere für Benutzer, die ihre Kennwörter zurücksetzen - und bewerten Sie die Adoption nach einigen Monaten, um festzustellen, ob es machbar ist.

Praktischer Falltest:

Ich implementieren eine passwordfreie Authentifizierung in einer neuen Anwendung, die von Kunden für Hunderte interner und externer Kunden verwendet wird. Etwa die Hälfte der Benutzerbasis verfügt über gute IT -Fähigkeiten und Zugriffe jeden Tag, sodass ihre Sitzungen selten ablaufen. Die andere Hälfte ist hauptsächlich Manager, die sich ein- oder zweimal im Monat anmelden - viele Leute vergessen oder geben das falsche Passwort ein. Das größte Problem: Der Kunde muss überzeugt sein. "Kein Passwort" klingt unsicher und nur wenige Leute haben es anderswo gesehen. Ich habe Glück: Der Kunde hat einen hochqualifizierten Projektmanager, der dieses Konzept versteht. Trotzdem stimme ich, wenn es einen Fehler gibt, ein Passwort hinzuzufügen. Seitdem lief alles gut. Ich musste meine eigenen Implementierungen aus technischen Gründen integrieren, anstatt mich auf Bibliotheken von Drittanbietern zu verlassen. Es dauert weniger als einen Tag und erfordert nicht die übliche Kennwortmanagement, Hashing- und Zurücksetzen von Unsinn, die wir normalerweise entwickeln und testen. Der größte Vorteil: Benutzer verstehen die kennwortfreie Authentifizierung. Der Prozess ist einfach, aber am besten, einfache Anweisungen in allen Phasen zu geben. Zum Beispiel:

• Sie haben eine E -Mail an Login -Link gesendet. Wenn nicht erhalten, überprüfen Sie bitte Ihren Spam -Ordner.
• Klicken Sie auf diesen Link, um sich anzumelden ... Sie haben 10 Minuten Zeit, um diesen Link im selben Browser zu öffnen.

Niemand war verwirrt. Niemand kämpfte. Niemand lobte das System, aber niemand beschwerte sich; Die Anzahl der kennwortbezogenen Anmeldeprobleme nahm von Mittwoch auf vier pro Woche auf Null ab.

Schlussfolgerung:

Ich kann nicht sagen, dass die passwordfreie Authentifizierung überall funktioniert, aber die Erfahrung ist überwiegend positiv. Ich habe meine Meinung geändert. Von nun an sind alle meine Anwendungen kennwortlos. Einige Kunden sind vielleicht nicht zufrieden - aber ich werde ihrem Anmeldeformular ein virtuelles Passwortbox hinzufügen und es ignorieren! Haben Sie eine kennwortfreie Authentifizierung implementiert? Ist das eine gute oder schlechte Erfahrung?

(Folgendes ist der FAQ häufig gestellte Fragen zur Passwort unsichtbare Authentifizierung (FAQ):

Was sind die Hauptvorteile der passwortfreien Authentifizierung?
• kennwortfreie Authentifizierung verbessert die Sicherheit, verbessert die Benutzererfahrung und senkt die Betriebskosten. Es beseitigt das kennwortbezogene Risiko für Sicherheitslücken, vereinfacht den Anmeldungsprozess und verkürzt die Zeit und die Ressourcen, die für das Kennwortmanagement und die Wiederherstellung erforderlich sind.

Wie funktioniert die passwortfreie Authentifizierung?
• Authentifizierung ohne Passwortfreiheit überprüft die Identität des Benutzers, indem sie andere Faktoren als Passwörter verwenden, z. Verhaltensbiometrie). Das System sendet einen einmaligen Code oder einen Link zum Gerät des Benutzers oder verwendet biometrische Daten, um die Identität des Benutzers zu überprüfen.

• Ist die passwortfreie Authentifizierung sicher? kennwortfreie Authentifizierung ist in der Regel sicherer als herkömmliche kennwortbasierte Authentifizierung, da das Risiko von kennwortbezogenen Angriffen und Schwachstellen beseitigt. Wie bei jeder anderen Sicherheitsmaßnahme ist es jedoch nicht vollständig narrensicher und sollte in Verbindung mit anderen Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung und Sicherheitsprotokollen verwendet werden.

• Was sind die Herausforderungen bei der Implementierung einer kennwortfreien Authentifizierung? Implementierung einer kennwortfreien Authentifizierung kann sich einigen Herausforderungen stellen, einschließlich Benutzerakzeptanz, technischen Herausforderungen und potenziellen Sicherheitsrisiken.

• Kann eine kennwortfreie Authentifizierung für alle Anwendungsarten verwendet werden? passwortlose Authentifizierung kann in einer Vielzahl von Anwendungen verwendet werden, aber nicht alle Anwendungen sind anwendbar. Die Anwendbarkeit hängt von den Sicherheitsanforderungen der Anwendung, der Benutzerbasis und der für die Implementierung und Verwaltung verfügbaren Ressourcen ab. Es ist am besten für Anwendungen geeignet, bei denen die Nutzerkomfort Priorität hat und ein hohes Risiko für Datenverletzungen hat.

• Wie verbessert die kennwortfreie Authentifizierung die Benutzererfahrung? Kennwortfreie Authentifizierung verbessert die Benutzererfahrung, indem Benutzer die Notwendigkeit beseitigen, komplexe Passwörter zu erinnern und einzugeben. Es vereinfacht auch den Anmeldungsprozess und macht es schneller und bequemer. Benutzer müssen den Kennwortreset-Prozess nicht mehr durchlaufen, was frustrierend und zeitaufwändig sein kann.

• Was ist der Unterschied zwischen kennwortfreier Authentifizierung und Multi-Faktor-Authentifizierung? kennwortfreie Authentifizierung ist eine Methode zur Überprüfung der Benutzeridentität, ohne ein Kennwort zu verwenden. Die Multifaktorauthentifizierung hingegen ist eine Methode zur Verwendung von zwei oder mehr unabhängigen Faktoren zur Überprüfung der Benutzeridentität. Kennwortfreie Authentifizierung kann als Teil der Multi-Faktor-Authentifizierung verwendet werden, von denen eine keine Passwörter umfasst.

• Was sind einige Beispiele für passwortfreie Authentifizierungsmethoden? Einige Beispiele für passwortfreie Authentifizierungsmethoden sind die biometrische Authentifizierung (wie Fingerabdruckscannen oder Gesichtserkennung), Hardware-Token, Software-Token und mobile Push-Benachrichtigungen. Diese Methoden können allein oder in Kombination verwendet werden, um die Sicherheit zu verbessern.

• Die Kosten für die Implementierung einer kennwortfreien Authentifizierung können von einem Faktor zu einem anderen variieren, einschließlich der Benutzergröße der Benutzer, der Komplexität vorhandener Systeme und des gewählten kennwortfreien Ansatzes. Während es möglicherweise im Voraus Investitionen erfordern, kann es auf lange Sicht Kosten sparen, indem die Ressourcen reduziert werden, die für das Kennwortmanagement und die Wiederherstellung verwendet werden.

• Wie kann ich zur kennwortfreien Authentifizierung übergehen? Der Übergang zur kennwortfreien Authentifizierung umfasst mehrere Schritte. Zunächst müssen Sie Ihre Sicherheitsanforderungen bewerten und den richtigen Ansatz auswählen. Anschließend müssen Sie Ihr System und Ihr Prozess aktualisieren, um die ausgewählte Methode zu unterstützen. Schließlich müssen Sie Ihre Benutzer über neue Methoden informieren und sie durch den Übergangsprozess führen. Es wird empfohlen, mit einem vertrauenswürdigen Sicherheitsanbieter zusammenzuarbeiten, um einen reibungslosen Übergang zu gewährleisten.

Das obige ist der detaillierte Inhalt vonWarum eine passwortlose Authentifizierung funktioniert. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!