Qu'est-ce que l'authentification sans mot de passe et comment l'implémenter

Dites au revoir à l'âge des mots de passe! Sécurité et commodité de l'authentification sans mot de passe

Points de base:

• Authentification sans mot de passe est une méthode de gestion des utilisateurs qui vérifie l'identité d'un utilisateur par la propriété ou des facteurs inhérents tels que la biométrie, plutôt que d'utiliser des facteurs basés sur les connaissances tels que les mots de passe. Les méthodes sans mot de passe courantes incluent des codes de vérification uniques, des liens magiques, des connexions biométriques, des cartes à puce et des certificats numériques.
• Authentification sans mot de passe Avantages significatifs dans la sécurité et l'expérience utilisateur. L'authentification sans mot de passe devrait dépasser l'utilisation du mot de passe d'ici 2027.
• Bien que l'authentification sans mot de passe présente de nombreux avantages, il a également certaines limites, telles que la méconnaissance de l'expérience utilisateur, le risque de dispositif de dispositif volé ou de carte SIM volé, et le fait que la sécurité biométrique n'est pas parfaite. Il est recommandé d'utiliser autant que possible l'authentification multi-facteurs (MFA) pour une sécurité améliorée.
• La mise en œuvre de l'authentification sans mot de passe sur un site Web ou une application peut être réalisée via une solution de gestion des utilisateurs ou un fournisseur de services d'authentification. Cet article fournit un guide étape par étape sur la façon d'intégrer une approche sans mot de passe à l'aide d'un fournisseur appelé Frontegg.

L'authentification sans mot de passe est une méthode de gestion des utilisateurs dans laquelle les utilisateurs peuvent se connecter au système ou à l'application sans mot de passe ni clé. Il vérifie l'identité de l'utilisateur grâce à des facteurs de propriété tels que des comptes de messagerie ou des facteurs inhérents tels que la reconnaissance faciale, plutôt que d'utiliser des facteurs basés sur les connaissances tels que les mots de passe.

Cet article a été créé en collaboration avec Frontegg. Merci de soutenir les partenaires qui ont rendu le point de point possible.

De nombreuses méthodes d'authentification sont utilisées comme alternatives aux mots de passe:

• Code de vérification unique (OTC)
• lien magique
• Connexion biométrique (empreinte digitale, ID de visage, reconnaissance vocale)
• Carte à puce ou jeton physique
• Certificat numérique

Popularité de l'authentification sans mot de passe

Vous avez peut-être utilisé "l'authentification sans mot de passe" sans le savoir. De nombreuses applications bancaires utilisent des empreintes digitales et une reconnaissance vocale pour vérifier les utilisateurs. Slack est connu pour utiliser des liens magiques pour vérifier les utilisateurs.

L'utilisation de l'authentification sans mot de passe s'est développée régulièrement au cours des dernières années. Auth0, un fournisseur d'authentification, prédit que l'authentification sans mot de passe dépassera l'utilisation du mot de passe en 2027. Gartner prédit que d'ici 2022, «60% des entreprises grandes et mondiales et 90% des entreprises de taille moyenne implémenteront une approche sans mot de passe dans plus de 50% des cas d'utilisation - contre 5% en 2018.»

Les géants de l'Internet font également de leur mieux pour accélérer l'adoption de cette technologie. La Journée mondiale du mot de passe 2022, Google, Microsoft et Apple ont annoncé que les plans pour étendre la prise en charge de la norme de connexion universelle sans mot de passe créée.

En juin 2022, Apple a annoncé sa nouvelle fonctionnalité "Mot de passe" pour vous connecter aux sites Web et aux applications. Cette annonce signifie en fait qu'Apple utilisera ID Touch ou Face ID pour créer une clé numérique pour le site. Cela élimine la nécessité de créer et d'écrire des mots de passe.

Avantages de l'authentification sans mot de passe

L'authentification sans mot de passe offre des avantages de sécurité et d'expérience utilisateur:

1. Réduisez le risque de plif de phishing et de mot de passe: Les utilisateurs ne sont pas affectés par les attaques de phishing, où les utilisateurs sont transportés sur des sites Web et entrez leurs informations d'identification de connexion. Si les utilisateurs n'entrent pas sur leurs mots de passe, ils ne seront pas affectés par les attaques de force brute, les violations de données de mot de passe et d'autres types de vol d'identification.
2. Réduire la réutilisation des informations d'identification: La réutilisation des mots de passe dans plusieurs services et comptes présente des risques plus importants pour les utilisateurs et votre système, ce qui est inévitable. Il est rapporté que 64% utilisent le même mot de passe exposé dans une vulnérabilité pour d'autres comptes.
3. Pas besoin de se souvenir des mots de passe: Vos utilisateurs n'ont pas besoin de se souvenir des noms d'utilisateur et des mots de passe pour de nombreux comptes. Parfois, après plusieurs échecs de connexion, ils doivent réinitialiser leurs mots de passe encore et encore.
4. Vitesse de connexion plus rapide: Nous sommes tous très occupés. Il est recommandé qu'un mot de passe solide mesure au moins 16 caractères, et il faut beaucoup de temps pour saisir un mot de passe fort par rapport à la numérisation d'une empreinte digitale ou à l'ouverture d'un lien magique.

Limites de l'authentification sans mot de passe

L'authentification sans mot de passe n'est pas parfaite, et elle a également certaines limites du point de vue de la sécurité et de l'expérience.

• Expérience utilisateur inconnue: De nombreuses personnes sont habituées à saisir ou à remplir automatiquement les mots de passe. La conversion en liens magiques ou en codes de vérification unique peut choquer les utilisateurs.
• Risque de dispositif de dispositif volé ou de carte SIM volé: L'envoi d'un code de vérification unique par SMS peut rendre vos utilisateurs vulnérables lorsque leur téléphone est volé ou devenir victimes d'escroqueries volées par carte SIM.
• La sécurité biométrique n'est pas parfaite: Les scanners d'empreintes digitales, les identifiants et les identifiants de visage ont été fissurés avec succès au fil des ans.

S'appuyer sur tout facteur unique pour l'authentification (avec ou sans mot de passe) peut apporter un risque. Nous vous recommandons d'utiliser autant que possible l'authentification multi-facteurs (MFA).

L'authentification sans mot de passe est-elle sécurisée?

Oui, l'authentification sans mot de passe est considérée comme sécurisée, mais elle n'est pas entièrement sans risque. Les comptes sans mots de passe n'ont pas à se soucier des mots de passe tombant entre les mains de personnes malveillantes. Cela pourrait se produire par des violations de données, des attaques de force brute, une perte de dispositifs ou des notes post-it déplacées.

De nombreux risques associés à l'authentification sans mot de passe s'appliquent également à d'autres méthodes.

Si les pirates ont accès à votre compte de messagerie et que vous utilisez des liens magiques pour l'authentification sans mot de passe, ils pourront se connecter facilement. Cependant, ce risque est le même si vous utilisez un mot de passe régulier. L'acteur malveillant doit simplement cliquer sur "réinitialiser le mot de passe" et envoyer le lien de réinitialisation à la même adresse e-mail.

Enfin, comme tout autre système, les systèmes d'authentification sans mot de passe sont vulnérables aux attaques directes pour saper ou contourner les mesures de sécurité. Peu importe la sécurité que vous prenez, le système qui stocke et vérifie vos informations d'identification ne sera jamais complètement sécurisée.

La vérification des empreintes digitales et d'autres facteurs biométriques sont plus difficiles à tricher, mais pas impossibles, et offrent un moyen très sûr de vous autoriser.

Authentification sans mot de passe et authentification multi-facteurs (MFA)

L'authentification multifactrice est un moyen d'utiliser plusieurs facteurs d'authentification lors de la connexion. Un exemple très courant de cette situation est lorsque vous vous connectez à votre compte avec un nom d'utilisateur et un mot de passe, vous recevrez ensuite un code de vérification unique à 6 chiffres (OTC) pour confirmer la propriété de votre appareil.

Dans cet exemple, le facteur OTC est sans mot de passe. Au lieu de cela, si vous utilisez des empreintes digitales et un code de vérification unique, vous aurez une configuration MFA complètement sans mot de passe.

Comment implémenter l'authentification sans mot de passe sur votre site Web

Il est plus facile que jamais d'intégrer l'authentification sans mot de passe dans votre application ou votre site Web. Selon votre infrastructure existante, vous avez maintenant de nombreuses options:

• Solutions de gestion des utilisateurs: Ces fournisseurs offrent des services entièrement gérés qui fournissent non seulement une authentification traditionnelle et sans mot de passe, mais également la gestion des utilisateurs et la gestion des autorisations.

  • Quand utiliser: Nouveaux builds de système, startups et équipes qui cherchent à éviter tous les efforts de développement à faible valeur et à haut risque.
  • Lorsque vous ne pas utiliser: Si vous avez un ensemble très personnalisé d'exigences d'authentification ou de gestion des utilisateurs, ces exigences peuvent ne pas convenir à leur système.
  • Fournisseurs: Frontegg, Okta / Auth0, FusionAuth, Trusona, AppWrite

• Provideurs de services d'authentification: Ces services fournissent une authentification des utilisateurs, la gestion de l'accès et d'autres services tels que la gestion de session.

  • Quand utiliser: Vous avez un service de gestion des utilisateurs existant et souhaitez que quelqu'un gère les mots de passe et l'authentification.
  • Lors de la non-utilisation: Vous avez une expérience ou des ressources de développement limité. Si vous avez un modèle de gestion d'identité et d'accès simple, vous voudrez peut-être considérer la solution entièrement gérée mentionnée ci-dessus.
  • Provideurs: AWS Cognito, Google Identity Platform, Microsoft Azure AD

Authentification sans mot de passe avec React - Tutoriel rapide

Pour démontrer à quel point il est facile d'introduire une approche sans mot de passe à vos utilisateurs, nous vous emmènerons à travers un tutoriel de 5 minutes à l'aide d'un fournisseur appelé Frontegg. Une plate-forme de gestion des utilisateurs de bout en bout en libre-service, en plus d'autres fonctions de gestion des utilisateurs, fournit également plusieurs méthodes de connexion sans mot de passe.

La construction de services de connexion et d'authentification prend du temps et n'ajoute pas de valeur au processus utilisateur, mais si vous faites quelque chose de mal, cela peut causer des dommages. Comme les services qui fournissent l'authentification deviennent meilleurs et moins chers, il n'y a pas beaucoup de raisons de créer votre propre système de vérification de mot de passe pour votre application.

1. Créez votre compte Frontegg gratuit

Créez votre compte Frontegg via leur site Web. Assurez-vous de choisir un code magique ou un lien magique comme votre option sans mot de passe lors du démarrage!

2. Démarrez le processus d'intégration

Après avoir terminé la création de la zone de connexion et sélectionné la méthode sans mot de passe, vous verrez une option "Publier to Development".

Environnements d'utilisation de Frontegg (développement, assurance qualité, mise en scène, production), ces environnements ont des sous-domaines, des clés et des URL uniques pour votre environnement d'authentification.

Vous serez maintenant emmené sur une page avec un exemple de code et, plus important encore, votre baseURL et clientID. Veuillez garder cette page ouverte et accéder à votre IDE pour passer à l'étape suivante.

3. Créer une application React (sautez cette étape si vous avez déjà votre propre application)

Tapez la commande suivante dans votre terminal pour créer une nouvelle application React et accédez à un nouveau répertoire.

<code>npx create-react-app app-with-frontegg
cd app-with-frontegg</code>

4. installer et importer Frontegg

Exécutez la commande suivante pour installer la bibliothèque Frontegg React et React-Router. Si React-Router est déjà installé dans votre application, vous pouvez ignorer l'installation.

<code>npm install @frontegg/react react-router-dom</code>

5. Configurer les paramètres de connexion

Dans le fichier src / index.js, ajoutez le code suivant. Revenez ensuite à votre page Frontegg et trouvez baseUrl et clientID dans l'exemple de code.

Remarque: Après avoir terminé ce processus d'introduction, ces valeurs peuvent toujours être trouvées dans la section de gestion de votre espace de travail.

<code class="language-javascript">import React from 'react';
import ReactDOM from 'react-dom'; // For react 17
// For react 18: import ReactDOM from 'react-dom/client';
import App from './App';
import './index.css';

import { FronteggProvider } from '@frontegg/react';

const contextOptions = {
  baseUrl: '## YOUR BASE URL ##',
  clientId: '## YOUR CLIENT ID ##'
};

// For react 18: 
// const root = ReactDOM.createRoot(document.getElementById('root'));
// root.render(
ReactDOM.render(
    <fronteggprovider contextoptions="{contextOptions}" hostedloginbox="{true}">
        <app></app>
    </fronteggprovider>,
    document.getElementById('root')
);</code>

6. Rediriger vers la page de connexion

En utilisant le crochet USAuth Frontegg, vous pouvez déterminer si l'utilisateur a été authentifié. Si l'utilisateur n'est pas authentifié, vous pouvez utiliser le crochet UseLoginWithRedirect pour rediriger l'utilisateur vers la page de connexion (comme indiqué dans l'exemple ci-dessous).

 <code class="language-javascript"> import './app.css';
// import {useEffecte} de 'react';
import {ContexTholder} de '@ frontegg / rest-api';
importer {
  usauth, useloginwithredirect
} de "@ frontegg / react";

Function App () {
  const {utilisateur, isAuthenticated} = useAuth ();
  const LoginWithRedirect = useLoginWithRedirect ();
  // Décommente cela pour rediriger vers la connexion automatiquement
  // useEFFECT (() = & gt; {
  // if (! isAuthenticated) {
  // LoginWithRedirect ();
  //}
  //}, [isAuthenticated, LoginWithRedirect]);
  const Logout = () = & gt;
    const BUTUTURL = ContexTholder.getContext (). BUSURL;
    window.location.href = `$ {BUSURL} / oAuth / Logout`
                            `? post_logout_redirect_uri =`
                            `$ {window.location}`;
  };
  Retour (
    <div classname="App">
      {Isauthenticated?
        <div>
          <div>
            <img src="https://img.php.cn/upload/article/000/000/000/173916230294882.jpg" alt="What is Passwordless Authentication and How to Implement it "> 
<p> Cliquez sur "Inscrivez-vous", accédez à votre e-mail et cliquez sur "Activer mon compte". </p>
<p> <img src="https://img.php.cn/upload/article/000/000/000/173916230376786.jpg" alt="What is Passwordless Authentication and How to Implement it "> </p>
<p> Lorsque vous souhaitez vous connecter, il vous suffit de saisir votre e-mail et d'attendre que le code de vérification à six chiffres arrive pour vous connecter. Aucun mot de passe requis, pas de soucis. </p>
<p> <strong> Conclusion </strong> </p>
<p> J'espère que ce guide d'authentification sans mot de passe vous aidera non seulement à comprendre à quel point cette technologie est facile, mais aussi à quel point elle deviendra importante dans les années à venir. </p>
<p> <strong> FAQ d'authentification sans mot de passe (FAQ) </strong> </p>
<h3> Quels sont les principaux avantages de l'authentification sans mot de passe? </h3>
<p> L'authentification sans mot de passe offre plusieurs avantages. Tout d'abord, il améliore l'expérience utilisateur car les utilisateurs n'ont plus besoin de se souvenir des mots de passe complexes. Deuxièmement, il améliore la sécurité en éliminant les vulnérabilités liées aux mots de passe telles que les attaques de force brute, les attaques de dictionnaires et le phishing. Enfin, il réduit les coûts d'exploitation car les entreprises n'ont plus besoin d'investir dans les programmes de récupération de mot de passe et de réinitialisation. </p>
<h3> Comment fonctionne l'authentification sans mot de passe? </h3>
<p> L'authentification sans mot de passe vérifie l'identité de l'utilisateur en utilisant des facteurs autres que les mots de passe. Ces facteurs peuvent être quelque chose que l'utilisateur connaît (comme une broche), quelque chose que l'utilisateur a (comme un appareil mobile) ou quelque chose de l'utilisateur lui-même (comme une empreinte digitale). Le système enverra un code ou un lien unique vers l'appareil de l'utilisateur, et l'utilisateur entre ou clique sur le code ou le lien pour accéder. </p>
<h3> L'authentification sans mot de passe est-elle sécurisée? </h3>
<p> Oui, l'authentification sans mot de passe est généralement plus sécurisée que l'authentification traditionnelle basée sur les mots de passe. Il supprime le risque d'attaques et de vulnérabilités liées au mot de passe. Cependant, comme toute autre mesure de sécurité, il n'est pas complètement infaillible et doit être utilisé conjointement avec d'autres mesures de sécurité pour une protection optimale. </p>
<h3> L'authentification sans mot de passe peut-elle être utilisée pour tous les types d'applications? </h3>
<p> L'authentification sans mot de passe peut être utilisée dans une variété d'applications, y compris les applications Web, les applications mobiles et même les appareils IoT. Cependant, l'applicabilité de l'authentification sans mot de passe dépend des exigences spécifiques et des exigences de sécurité de l'application. </p>
<h3> Quels sont les défis de la mise en œuvre de l'authentification sans mot de passe? </h3>
<p> La mise en œuvre de l'authentification sans mot de passe peut poser certains défis. Ceux-ci incluent l'acceptation des utilisateurs, car certains utilisateurs peuvent résister aux changements techniques, car il nécessite des modifications importantes de l'infrastructure d'authentification existante; </p>
<h3> Comment implémenter l'authentification sans mot de passe dans mon application? </h3>
<p> La mise en œuvre de l'authentification sans mot de passe implique plusieurs étapes. Tout d'abord, vous devez sélectionner le bon facteur d'authentification (comme la biométrie ou les appareils mobiles). Deuxièmement, vous devez intégrer ce facteur dans votre processus d'authentification. Enfin, vous devez éduquer vos utilisateurs sur les nouvelles méthodes d'authentification et leurs avantages. </p>
<h3> Quels sont quelques exemples d'authentification sans mot de passe? </h3>
<p> Les exemples d'authentification sans mot de passe incluent l'authentification biométrique (telle que la numérisation des empreintes digitales ou la reconnaissance faciale), l'authentification des appareils mobiles (tels que les codes SMS ou les notifications push) et les jetons matériels (tels que les clés de sécurité). </p>
<h3> L'authentification sans mot de passe est-elle un avenir de la sécurité en ligne à l'avenir? </h3>
<p> De nombreux experts estiment que l'authentification sans mot de passe est l'avenir de la sécurité en ligne à l'avenir. À mesure que les limites et les risques associés aux mots de passe deviennent de plus en plus évidents, de plus en plus d'entreprises se tournent vers l'authentification sans mot de passe pour améliorer la sécurité et améliorer l'expérience utilisateur. </p>
<h3> L'authentification sans mot de passe peut-elle être utilisée en conjonction avec d'autres mesures de sécurité? </h3>
<p> Oui, l'authentification sans mot de passe peut et doit être utilisée en conjonction avec d'autres mesures de sécurité pour une protection optimale. Ceux-ci peuvent inclure le chiffrement, les pratiques de codage sécurisées et les audits de sécurité réguliers. </p>
<h3> Quel est le rôle des utilisateurs dans l'authentification sans mot de passe? </h3>
<p> Les utilisateurs jouent un rôle essentiel dans l'authentification sans mot de passe. Ils doivent protéger leurs facteurs d'authentification (tels que leurs appareils mobiles ou leurs données biométriques) et comprendre les menaces de sécurité potentielles. Ils doivent également être satisfaits des nouvelles méthodes d'authentification pour se protéger. </p>
</div>
</div>
</div></code>

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!