パスワードレス認証が機能する理由

パスワードに別れを告げてください！パスワードレス認証の利点と慣行

パスワードのない認証は、電子メールやテキストメッセージなどの安全な個人的なコミュニケーションツールを使用して、従来のパスワードベースのシステムに代わるより安全でフレンドリーな代替品を提供します。パスワードの作成と記憶の手間からユーザーを救い、ハッキングまたは推測できるパスワードストレージはありません。

パスワードレス認証の利点：

• セキュリティ：パスワードを保存する必要はなく、パスワードがクラックまたは推測されるリスクを排除します。情報が傍受されたとしても、攻撃者はトークンの1つだけを取得し、ログインできません。
• 費用対効果：開発と展開にはコードが少なくなり、サポートチームはさまざまなパスワード関連の問題に対処する必要はなく、運用コストが削減されます。特に、セッションのタイムアウトが長いアプリケーションや、ユーザーがたまにアクセスする必要があるアプリケーションに適しています。
• ユーザーエクスペリエンス：ユーザーは、パスワードを作成または覚えておく必要がなく、ログインプロセスはより簡単かつ高速です。

パスワードの原則目に見えない認証：

インターネットの開始と同じ認証方法を使用します。残念ながら、パスワードはますます壊れやすくなっています：

• パスワードの強度は一般に不十分です。調査では、10個に1つが最も人気のある20のパスワードの1つを使用していることが示されています。 「123456」は、アカウントの4％以上で使用されています。
• ユーザーは、複数のWebサイトで同じ弱いパスワードを使用します。ハッカーが誰かのFacebookアカウントを突破した場合、彼はおそらくPayPalアカウントにもアクセスできるでしょう。パスワードセキュリティは、使用する最も弱いシステムのセキュリティに依存します。
• エンタープライズデータ侵害はますます頻繁になり、主流メディアの注目を集めています。それは人々を簡単に有名にしたり、報復したり、脅迫したりすることができます。サイバーテロ行為に備えている企業はほとんどなく、しばしば「継続的に複雑な攻撃」であると主張しているにもかかわらず、多くのセキュリティ侵害は開発技術の不十分なSQL注入です。
• コーディングの観点から見ると、認証は面倒でエラーが発生しやすいです。資格情報のチェックは問題の始まりに過ぎません。セキュリティの脆弱性がないことを確認する必要があります。ハッシュ文字列に強力な（および遅い）アルゴリズムを使用して、ユーザーが忘れられたパスワードをリセットし、そうでないものに答えることができます。正しく覚えているか、混乱を招くユーザーのサポート電話の短い文字列を入力しているようです。
バイオメトリクスやOAuthなどのその他のソリューションは、ハードウェアまたは適切なソーシャルメディアアカウントに依存しています。いくつかのユーザーのために電子メール/パスワード方法に復元する必要があるウェブサイトはほとんどありません。

パスワードのない認証は、ほとんどのユーザーが安全な個人通信アカウント（電子メールやテキストメッセージなど）を持っている場合、パスワードが不要であるという前提条件です。アプリケーションは、これらのシステムを利用できます：

1. ユーザーはWebサイトにアクセスし、ID（メールアドレスなど）を入力してログインします。
2. システムは、ユーザーへのリンクを含むメッセージを送信します。

言い換えれば、アプリケーションはランダムな1回限りのパスワードを作成し、アクセスが必要なときにユーザーに静かに通知します。これは、パスワードをリセットするプロセスに似ています。多くのユーザーは、とにかくログインするたびにこれを行います。電子メールは明らかな選択肢ですが、SMS、Slack、Skype、インスタントメッセージ、さらにはTwitterダイレクトメッセージなど、他のメッセージングサービスを使用できます。単一のシステムに頼りたくない場合は、複数のオプションを使用できます。舞台裏では、1人だけがログインリンクを使用できることを確認するのはもう少し複雑です。一般的なプロセスは次のとおりです

サーバーは、メールアドレスを含むアカウントが存在することを確認します。
サーバーは、2つのトークン（24文字の16進数ガイドなど）を作成し、これら2つのトークンをこのログイン試行に関連付けます。最初のトークンは、通常、ブラウザクッキーとしてログインデバイスに送り返されます。 2番目のトークンは、電子メールでユーザーに送信されたリンクにエンコードされています。
リンクをクリックすると、サーバーは2つのトークンを受信し、単一のログイン試行に基づいてそれらを検証します。リンクが数分以内にクリックされ、IPアドレスとブラウザのユーザーエージェント文字列が変更されていないことを確認するために、さらにチェックを行うオプションがあります。
すべての検証が渡された場合、実際のセッションが開始され、ユーザーがログインします。ステップが失敗した場合、関連するすべてのトークンは無効になります。
パスワードレス認証のための該当するシナリオ：

ログイン時間はもう少し長いですが、これはパスワードマネージャーを使用するのとほぼ同じ時間です！パスワードのない認証は、セッションのタイムアウトが長いアプリケーションに適用できます。または、ショッピングWebサイト、ソーシャルネットワーク、フォーラム、チケットシステム、コンテンツ管理システムなど、ユーザーがたまに訪問するだけです。ログインするには別のシステムが必要なので、メッセージングシステムに使用するのは奇妙に思えます！また、補助認証プロセスはそれを補完することができますが、銀行がAOLのセキュリティに完全に依存することを望んでいません。新しいアプリケーションを作成している場合は、パスワードのない認証を使用することを検討してください。ただし、既存のアプリケーションを更新する問題（現在、多くのユーザーにはパスワードがあります）。新しいログインプロセスに一晩切り替えるのではなく、パスワードのない認証を並行して実行することをお勧めします。特にパスワードをリセットするユーザー向けにオプションとして提供し、数か月後に採用を評価して、実行可能かどうかを判断します。

実用的なケーステスト：

私は、何百もの内部および外部顧客に顧客が使用する新しいアプリケーションにパスワードフリー認証を実装しています。ユーザーベースの約半分には優れたITスキルがあり、毎日アクセスできるため、セッションはめったに期限切れになりません。残りの半分は、主に月に1〜2回ログインするマネージャーです。多くの人が間違ったパスワードを忘れたり入力したりします。最大の問題：顧客は納得しなければなりません。 「パスワードなし」は安全ではないように聞こえ、他の場所で見た人はほとんどいません。私は幸運です：クライアントには、この概念を理解している非常に熟練したプロジェクトマネージャーがいます。それでも、失敗がある場合は、パスワードを追加することに同意します。それ以来、すべてが順調に進んでいます。サードパーティライブラリに依存するのではなく、技術的な理由で自分の実装を統合する必要がありました。 1日もかからず、通常の開発とテストの通常のパスワード管理、ハッシュ、リセットナンセンスを必要としません。最大の利点：ユーザーはパスワードのない認証を理解しています。プロセスは簡単ですが、すべての段階で簡単な指示を提供することをお勧めします。たとえば、

• ログインリンクメールが送信されました。受信していない場合は、スパムフォルダーを確認してください。
• このリンクをクリックしてログインしてください...同じブラウザでこのリンクを開くのに10分あります。

誰も混乱していませんでした。誰も苦労しませんでした。誰もこのシステムを称賛しませんでしたが、誰も不満を言いませんでした。パスワード関連のログイン問題の数は、水曜日から週4に減少しました。

結論：

パスワードのない認証がどこでも機能するとは言えませんが、経験は圧倒的に肯定的です。気が変わった。これからは、すべてのアプリケーションがパスワードレスになります。一部の顧客は満足していないかもしれませんが、ログインフォームに仮想パスワードボックスを追加して無視します！パスワードのない認証を実装しましたか？これは良い経験ですか、それとも悪い経験ですか？

（以下はFAQパーツであり、基本的に元のFAQコンテンツと同じですが、その文は流encyさと擬似原産性を維持するためにわずかに調整されています） パスワードに関するよくある質問（FAQ）：

パスワードのない認証の主な利点は何ですか？
• パスワードのない認証により、セキュリティが強化され、ユーザーエクスペリエンスが向上し、運用コストが削減されます。パスワード関連のセキュリティの脆弱性リスクを排除し、ログインプロセスを簡素化し、パスワード管理と回復に必要な時間とリソースを削減します。

パスワードのない認証はどのように機能しますか？
• パスワードのない認証は、ユーザーが所有するもの（スマートフォンまたはハードウェアトークン）、ユーザーの身元（指紋や顔の認識などの生物学的データ）、またはユーザーの動作など、パスワード以外の要因を使用してユーザーのIDを検証します。行動生体認証）。システムは、ユーザーのデバイスに1回限りのコードまたはリンクを送信するか、生体認証データを使用してユーザーのIDを確認します。

• パスワードのない認証は安全ですか？ パスワードのない認証は、通常、パスワード関連の攻撃や脆弱性のリスクを排除するため、従来のパスワードベースの認証よりも安全です。ただし、他のセキュリティ測定と同様に、それは完全に完全なものではなく、マルチファクター認証やセキュリティプロトコルなどの他のセキュリティ対策と組み合わせて使用​​する必要があります。

• パスワードのない認証を実装することの課題は何ですか？ パスワードのない認証の実装は、ユーザーの受け入れ、技術的課題、潜在的なセキュリティリスクなど、いくつかの課題に直面する可能性があります。

• あらゆるタイプのアプリケーションにパスワードなしの認証を使用できますか？ パスワードレス認証はさまざまなアプリケーションで使用できますが、すべてのアプリケーションが適用できるわけではありません。その適用性は、アプリケーション、ユーザーベース、および実装と管理に利用できるリソースのセキュリティ要件に依存します。ユーザーの利便性が優先事項であり、データ侵害のリスクが高いアプリケーションに最適です。

• パスワードのない認証はユーザーエクスペリエンスをどのように改善しますか？ パスワードのない認証により、ユーザーが複雑なパスワードを覚えて入力する必要性を排除することにより、ユーザーエクスペリエンスが向上します。また、ログインプロセスを簡素化し、より速く、より便利にします。ユーザーは、パスワードリセットプロセスを実行する必要がなくなり、イライラし、時間がかかる場合があります。

• パスワードのない認証とマルチファクター認証の違いは何ですか？ パスワードのない認証は、パスワードを使用せずにユーザーのIDを確認する方法です。一方、マルチファクター認証は、2つ以上の独立した要因を使用してユーザーIDを検証する方法です。パスワードのない認証は、マルチファクター認証の一部として使用できますが、そのうちの1つはパスワードを含みません。

• パスワードのない認証方法の例は何ですか？ パスワードのない認証方法の例には、生体認証（指紋スキャンや顔認識など）、ハードウェアトークン、ソフトウェアトークン、モバイルプッシュ通知などがあります。これらの方法は、セキュリティを強化するために単独または組み合わせて使用​​できます。

• パスワードのない認証を実装するのに費用はかかりますか？ パスワードのない認証を実装するコストは、ユーザーのベースサイズ、既存のシステムの複雑さ、選択されたパスワードのないアプローチなど、要因によって異なる場合があります。前払いの投資が必要な場合がありますが、パスワード管理と回復に使用されるリソースを削減することにより、長期的にコストを節約できます。

• パスワードのない認証に移行する方法は？ パスワードのない認証への移行には、いくつかのステップが含まれます。まず、セキュリティのニーズを評価し、適切なアプローチを選択する必要があります。次に、選択した方法をサポートするためにシステムとプロセスを更新する必要があります。最後に、新しい方法についてユーザーを教育し、移行プロセスを通じてガイドする必要があります。スムーズな移行を確保するために、信頼できるセキュリティプロバイダーと協力することをお勧めします。

以上がパスワードレス認証が機能する理由の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。