Apa pengesahan tanpa kata laluan dan bagaimana melaksanakannya

Mengucapkan selamat tinggal kepada umur kata laluan! Keselamatan dan kemudahan pengesahan bebas kata laluan

mata teras:

• Pengesahan Kata Laluan adalah kaedah pengurusan pengguna yang mengesahkan identiti pengguna melalui pemilikan atau faktor yang wujud seperti biometrik, dan bukannya menggunakan faktor berasaskan pengetahuan seperti kata laluan. Kaedah bebas kata laluan yang biasa termasuk kod pengesahan satu kali, pautan sihir, log masuk biometrik, kad pintar, dan sijil digital.
• Pengesahan Kata Laluan Kelebihan yang signifikan dalam pengalaman keselamatan dan pengguna. Pengesahan tanpa kata laluan dijangka melampaui penggunaan kata laluan menjelang 2027.
Walaupun pengesahan bebas kata laluan mempunyai banyak kelebihan, ia juga mempunyai beberapa batasan, seperti ketidakpastian dengan pengalaman pengguna, risiko peranti dicuri atau kad SIM dicuri, dan hakikat bahawa keselamatan biometrik tidak sempurna. Adalah disyorkan untuk menggunakan Pengesahan Multi-Faktor (MFA) sebanyak mungkin untuk keselamatan yang dipertingkatkan.
Melaksanakan pengesahan tanpa kata laluan di laman web atau aplikasi boleh dicapai melalui penyelesaian pengurusan pengguna atau penyedia perkhidmatan pengesahan. Artikel ini menyediakan panduan langkah demi langkah tentang cara mengintegrasikan pendekatan tanpa kata laluan menggunakan pembekal yang dipanggil Frontegg.

Pengesahan Tanpa Kata Laluan adalah kaedah pengurusan pengguna di mana pengguna boleh log masuk ke sistem atau aplikasi tanpa kata laluan atau kunci. Ia mengesahkan identiti pengguna melalui faktor pemilikan seperti akaun e-mel atau faktor yang wujud seperti pengiktirafan muka, dan bukannya menggunakan faktor berasaskan pengetahuan seperti kata laluan.

Artikel ini dibuat dengan kerjasama Frontegg. Terima kasih kerana menyokong rakan kongsi yang membuat SitePoint mungkin.

Banyak kaedah pengesahan digunakan sebagai alternatif kepada kata laluan:

kod pengesahan satu kali (OTC)
pautan sihir
Login Biometrik (cap jari, ID Face, Pengiktirafan Suara)
kad pintar atau token fizikal
Sijil Digital

Populariti Pengesahan Bebas Kata Laluan

anda mungkin menggunakan "pengesahan tanpa kata laluan" tanpa mengetahui. Banyak aplikasi perbankan menggunakan cap jari dan pengiktirafan suara untuk mengesahkan pengguna. Slack dikenali kerana menggunakan pautan sihir untuk mengesahkan pengguna.

Penggunaan Pengesahan Tanpa Kata Laluan telah berkembang dengan mantap sejak beberapa tahun kebelakangan ini. Auth0, penyedia pengesahan, meramalkan bahawa pengesahan tanpa kata laluan akan melampaui penggunaan kata laluan pada tahun 2027. Gartner meramalkan bahawa menjelang 2022, "60% perniagaan besar dan global dan 90% perniagaan bersaiz sederhana akan melaksanakan pendekatan tanpa kata laluan dalam lebih daripada 50% kes penggunaan-naik dari 5% pada tahun 2018."

Gergasi Internet juga melakukan yang terbaik untuk mempercepatkan penggunaan teknologi ini. Pada Hari Kata Laluan Dunia 2022, Google, Microsoft dan Apple mengumumkan rancangan untuk memperluaskan sokongan untuk standard log masuk bebas kata laluan sejagat yang dibuat.

Pada bulan Jun 2022, Apple mengumumkan ciri "kunci kata laluan" baru mereka untuk log masuk ke laman web dan aplikasi. Pengumuman ini sebenarnya bermakna bahawa Apple akan menggunakan ID Touch atau Face ID untuk membuat kunci digital untuk laman web ini. Ini menghapuskan keperluan untuk membuat dan menulis kata laluan.

Kelebihan Pengesahan Bebas Kata Laluan

Pengesahan Tanpa Kata Laluan menyediakan kelebihan keselamatan dan pengalaman pengguna:

1. Mengurangkan risiko pencurian phishing dan kata laluan: Pengguna tidak terjejas oleh serangan pancingan data, di mana pengguna dibawa ke laman web palsu dan masukkan kelayakan log masuk mereka. Jika pengguna tidak memasukkan kata laluan mereka, mereka tidak akan terjejas oleh serangan kekerasan, pelanggaran data kata laluan, dan lain -lain jenis kecurian kelayakan.
2. Mengurangkan penggunaan semula kelayakan: menggunakan kata laluan dalam pelbagai perkhidmatan dan akaun menimbulkan risiko yang lebih besar kepada pengguna dan sistem anda, yang tidak dapat dielakkan. Dilaporkan bahawa 64% menggunakan kata laluan yang sama terdedah dalam satu kelemahan untuk akaun lain.
3. Tidak perlu ingat kata laluan: Pengguna anda tidak perlu mengingati nama pengguna dan kata laluan untuk pelbagai akaun. Kadang -kadang, selepas kegagalan log masuk berganda, mereka perlu menetapkan semula kata laluan mereka lagi dan lagi.
kelajuan masuk yang lebih cepat:
4. kita semua sangat sibuk. Adalah disyorkan bahawa kata laluan yang kuat adalah sekurang -kurangnya 16 aksara panjang, dan memerlukan masa yang lama untuk memasukkan kata laluan yang kuat berbanding mengimbas cap jari atau membuka pautan sihir.

Batasan Pengesahan Bebas Kata Laluan

Pengesahan tanpa kata laluan tidak sempurna, dan ia juga mempunyai beberapa batasan dari perspektif keselamatan dan pengalaman.

Pengalaman pengguna yang tidak dikenali:
• Ramai orang digunakan untuk memasukkan atau secara automatik mengisi kata laluan. Menukar kepada pautan sihir atau kod pengesahan sekali-sekala boleh mengejutkan pengguna.
Risiko peranti dicuri atau kad SIM dicuri:
• Menghantar kod pengesahan satu kali melalui mesej teks boleh membuat pengguna anda terdedah apabila telefon mereka dicuri atau menjadi mangsa penipuan curi kad SIM.
Keselamatan biometrik tidak sempurna:
• pengimbas cap jari, ID sentuh dan ID muka telah berjaya retak selama bertahun -tahun.
bergantung kepada mana -mana faktor untuk pengesahan (dengan atau tanpa kata laluan) boleh membawa risiko. Kami mengesyorkan menggunakan Pengesahan Multi-Faktor (MFA) sebanyak mungkin.

Adakah pengesahan bebas kata laluan selamat?

Ya, pengesahan bebas kata laluan dianggap selamat, tetapi ia tidak sepenuhnya bebas risiko. Akaun tanpa kata laluan tidak perlu bimbang tentang kata laluan yang jatuh ke tangan orang jahat. Ini boleh berlaku melalui pelanggaran data, serangan kekerasan, kehilangan peranti atau nota post-it yang salah.

Banyak risiko yang berkaitan dengan pengesahan tanpa kata laluan dikenakan kepada kaedah lain juga.

Jika penggodam mempunyai akses ke akaun e-mel anda dan anda menggunakan pautan sihir untuk pengesahan bebas kata laluan, mereka akan dapat log masuk dengan mudah. Walau bagaimanapun, risiko ini adalah sama jika anda menggunakan kata laluan biasa. Pelakon yang berniat jahat hanya perlu mengklik pada "Reset Kata Laluan" dan hantar pautan tetapkan semula ke alamat e -mel yang sama.

Akhir sekali, seperti mana -mana sistem lain, sistem pengesahan tanpa kata laluan terdedah kepada serangan langsung untuk melemahkan atau meludahkan langkah -langkah keselamatan. Tidak kira betapa selamat yang anda ambil, sistem yang menyimpan dan mengesahkan kelayakan anda tidak akan benar -benar selamat.

Pengesahan cap jari dan faktor biometrik lain lebih sukar untuk menipu, tetapi tidak mustahil, dan memberikan cara yang sangat selamat untuk memberi kuasa kepada diri sendiri.

Pengesahan Tanpa Kata Laluan dan Pengesahan Multi-Faktor (MFA)

Pengesahan multifaktor adalah cara untuk menggunakan pelbagai faktor pengesahan semasa log masuk. Satu contoh yang sangat umum mengenai keadaan ini adalah apabila anda log masuk ke akaun anda dengan nama pengguna dan kata laluan, anda akan menerima kod pengesahan satu kali 6 digit (OTC) untuk mengesahkan pemilikan peranti anda.

Dalam contoh ini, faktor OTC adalah kata laluan. Sebaliknya, jika anda menggunakan cap jari dan kod pengesahan satu kali, anda akan mempunyai persediaan MFA tanpa kata laluan.

bagaimana untuk melaksanakan pengesahan tanpa kata laluan di laman web anda

Lebih mudah berbanding sebelum ini untuk mengintegrasikan pengesahan tanpa kata laluan ke dalam aplikasi atau laman web anda. Bergantung pada infrastruktur anda yang sedia ada, anda kini mempunyai banyak pilihan:

• Penyelesaian Pengurusan Pengguna: Penyedia ini menawarkan perkhidmatan yang diuruskan sepenuhnya yang bukan sahaja menyediakan pengesahan tradisional dan bebas kata laluan, tetapi juga pengurusan pengguna dan pengurusan kebenaran.

  • Bila hendak menggunakan: Sistem baru membina, pemula dan pasukan yang ingin mengelakkan semua usaha pembangunan nilai rendah dan berisiko tinggi.
  • Apabila tidak menggunakan: Jika anda mempunyai set pengesahan atau keperluan pengurusan pengguna yang sangat disesuaikan, keperluan ini mungkin tidak sesuai untuk sistem mereka.
  • Pembekal: Frontegg, Okta/Auth0, FusionAuth, Trusona, Appwrite

• Penyedia Perkhidmatan Pengesahan: Perkhidmatan ini menyediakan pengesahan pengguna, pengurusan akses, dan perkhidmatan lain seperti pengurusan sesi.

  • Bila hendak menggunakan: Anda mempunyai perkhidmatan pengurusan pengguna yang sedia ada dan mahu seseorang mengendalikan kata laluan dan pengesahan.
  • Apabila tidak menggunakan: anda mempunyai pengalaman pembangunan atau sumber yang terhad. Jika anda mempunyai model identiti dan pengurusan akses yang mudah, anda mungkin ingin mempertimbangkan penyelesaian yang diuruskan sepenuhnya yang disebutkan di atas.
  • Pembekal: AWS Cognito, Platform Identiti Google, Microsoft Azure AD

Pengesahan Tanpa Kata Laluan dengan React - Tutorial Pantas

Untuk menunjukkan betapa mudahnya untuk memperkenalkan pendekatan tanpa kata laluan kepada pengguna anda, kami akan membawa anda melalui tutorial 5 minit menggunakan pembekal yang dipanggil Frontegg. Platform pengurusan pengguna akhir-ke-akhir layan diri, sebagai tambahan kepada fungsi pengurusan pengguna yang lain, juga menyediakan beberapa kaedah log masuk bebas kata laluan.

Perkhidmatan log masuk dan pengesahan bangunan adalah memakan masa dan tidak menambah nilai kepada proses pengguna, tetapi jika anda melakukan sesuatu yang salah, ia boleh menyebabkan kerosakan. Sebagai perkhidmatan yang memberikan pengesahan menjadi lebih baik dan lebih murah, tidak banyak alasan untuk membina sistem pengesahan kata laluan anda sendiri untuk aplikasi anda.

1. Buat akaun Frontegg percuma anda

Buat akaun Frontegg anda melalui laman web mereka. Pastikan anda memilih kod sihir atau pautan sihir sebagai pilihan tanpa kata laluan anda apabila bermula!

2. Mulakan proses integrasi

Selepas anda melengkapkan penciptaan kotak log masuk dan pilih kaedah tanpa kata laluan, anda akan melihat pilihan "Terbitkan ke Pembangunan".

Persekitaran penggunaan frontegg (pembangunan, jaminan kualiti, pementasan, pengeluaran), persekitaran ini mempunyai subdomain, kunci, dan URL yang unik untuk persekitaran pengesahan anda.

Anda kini akan dibawa ke halaman dengan beberapa kod sampel dan, lebih penting lagi,

dan baseURL anda. Sila simpan halaman ini dan pergi ke IDE anda untuk meneruskan ke langkah seterusnya. clientID

3. Buat Aplikasi React (Langkau langkah ini jika anda sudah mempunyai aplikasi anda sendiri)

Taip arahan berikut di terminal anda untuk membuat aplikasi React baru dan menavigasi ke direktori baru.

<code>npx create-react-app app-with-frontegg
cd app-with-frontegg</code>

4. Pasang dan import frontegg

Jalankan arahan berikut untuk memasang Perpustakaan React Frontegg dan React-Router. Jika React-Router sudah dipasang dalam aplikasi anda, anda boleh melangkau pemasangan.

<code>npm install @frontegg/react react-router-dom</code>

5. Konfigurasi Tetapan Log masuk

Dalam fail src/index.js, tambahkan kod berikut. Kemudian kembali ke halaman frontegg anda dan cari

dan baseUrl dari contoh kod. clientID

NOTA: Setelah menyelesaikan proses pengantar ini, nilai -nilai ini dapat dijumpai di bahagian pengurusan ruang kerja anda.

<code class="language-javascript">import React from 'react';
import ReactDOM from 'react-dom'; // For react 17
// For react 18: import ReactDOM from 'react-dom/client';
import App from './App';
import './index.css';

import { FronteggProvider } from '@frontegg/react';

const contextOptions = {
  baseUrl: '## YOUR BASE URL ##',
  clientId: '## YOUR CLIENT ID ##'
};

// For react 18: 
// const root = ReactDOM.createRoot(document.getElementById('root'));
// root.render(
ReactDOM.render(
    <fronteggprovider contextoptions="{contextOptions}" hostedloginbox="{true}">
        <app></app>
    </fronteggprovider>,
    document.getElementById('root')
);</code>

6. mengalihkan ke halaman log masuk

Menggunakan Hook UseAuth Frontegg, anda boleh menentukan sama ada pengguna telah disahkan. Jika pengguna tidak disahkan, anda boleh menggunakan cangkuk useloginWithRedirect untuk mengarahkan pengguna ke halaman log masuk (seperti yang ditunjukkan dalam contoh di bawah).

 <code class="language-javascript"> import './app.css';
// import {useeffect} dari 'react';
import {contextholder} dari '@frontegg/rest-api';
import {
  UseAuth, useloginWithRedirect
} dari "@frontegg/react";

aplikasi fungsi () {
  const {user, isAuthenticated} = useAuth ();
  const LoginWithRedirect = uselogInWithRedirect ();
  // Uncomment ini untuk dialihkan ke log masuk secara automatik
  // useeffect (() = & gt; {
  // jika (! isauthenticated) {
  // LoginWithRedirect ();
  //}
  //}, [isauthenticated, loginwithredirect]);
  const logout = () = & gt;
    const baseUrl = contexTholder.getContext (). BaseUrl;
    window.location.href = `$ {BaseUrl}/oAuth/Logout`
                            `? POST_LOGOUT_REDIRECT_URI =`
                            `$ {window.location}`;
  };
  Kembali (
    <div classname="App">
      {isAuthedicated?
        <div>
          <div>
            <img src="https://img.php.cn/upload/article/000/000/000/173916230294882.jpg" alt="What is Passwordless Authentication and How to Implement it "> 
<p> Klik "Daftar", pergi ke e -mel anda dan klik "Aktifkan Akaun Saya". </p>
<p> <img src="https://img.php.cn/upload/article/000/000/000/173916230376786.jpg" alt="What is Passwordless Authentication and How to Implement it "> <s>
</s></p> Apabila anda ingin log masuk, anda hanya perlu memasukkan e-mel anda dan tunggu kod pengesahan enam digit tiba untuk log masuk. Tiada kata laluan diperlukan, jangan risau. <p>
</p> <p> Kesimpulan <strong> </strong>
</p> Saya harap panduan pengesahan kata laluan ini bukan sahaja akan membantu anda memahami betapa mudahnya teknologi ini, tetapi juga betapa pentingnya ia akan menjadi pada tahun -tahun akan datang. <p>
</p> <p> FAQ Pengesahan Tanpa Kata Laluan (FAQ) <strong> </strong>
</p> Apakah faedah utama pengesahan tanpa kata laluan? <h3>
</h3> Pengesahan Tanpa Kata Laluan menyediakan pelbagai manfaat. Pertama, ia meningkatkan pengalaman pengguna kerana pengguna tidak lagi perlu mengingati kata laluan yang kompleks. Kedua, ia meningkatkan keselamatan dengan menghapuskan kelemahan yang berkaitan dengan kata laluan seperti serangan kekerasan, serangan kamus, dan phishing. Akhirnya, ia mengurangkan kos operasi kerana perniagaan tidak lagi perlu melabur dalam pemulihan kata laluan dan menetapkan semula program. <p>
</p> Bagaimana pengesahan kata laluan tanpa kata laluan? <h3>
</h3> Pengesahan tanpa kata laluan mengesahkan identiti pengguna dengan menggunakan faktor selain kata laluan. Faktor -faktor ini boleh menjadi sesuatu yang pengguna tahu (seperti pin), sesuatu yang pengguna mempunyai (seperti peranti mudah alih), atau sesuatu pengguna sendiri (seperti cap jari). Sistem ini akan menghantar kod atau pautan sekali ke peranti pengguna, dan pengguna memasuki atau mengklik kod atau pautan untuk mendapatkan akses. <p>
</p> Adakah pengesahan bebas kata laluan selamat? <h3>
</h3> Ya, pengesahan tanpa kata laluan biasanya lebih selamat daripada pengesahan berasaskan kata laluan tradisional. Ia menghilangkan risiko serangan dan kelemahan yang berkaitan dengan kata laluan. Walau bagaimanapun, seperti apa -apa langkah keselamatan yang lain, ia tidak benar -benar mudah dibakar dan harus digunakan bersamaan dengan langkah -langkah keselamatan yang lain untuk perlindungan yang optimum. <p></p>
<h3> Bolehkah pengesahan bebas kata laluan digunakan untuk semua jenis aplikasi? </h3>
<p> Pengesahan tanpa kata laluan boleh digunakan dalam pelbagai aplikasi, termasuk aplikasi web, aplikasi mudah alih, dan juga peranti IoT. Walau bagaimanapun, kebolehgunaan pengesahan tanpa kata laluan bergantung kepada keperluan khusus dan keperluan keselamatan permohonan. </p>
<h3> Apakah cabaran melaksanakan pengesahan bebas kata laluan? </h3>
<p> Melaksanakan pengesahan bebas kata laluan boleh menimbulkan beberapa cabaran. Ini termasuk penerimaan pengguna, kerana sesetengah pengguna boleh menentang perubahan; </p>
<h3> bagaimana saya melaksanakan pengesahan tanpa kata laluan dalam aplikasi saya? </h3>
<p> Melaksanakan pengesahan bebas kata laluan melibatkan beberapa langkah. Pertama, anda perlu memilih faktor pengesahan yang betul (seperti biometrik atau peranti mudah alih). Kedua, anda perlu mengintegrasikan faktor ini ke dalam proses pengesahan anda. Akhirnya, anda perlu mendidik pengguna anda tentang kaedah pengesahan baru dan faedahnya. </p>
<h3> Apakah beberapa contoh pengesahan tanpa kata laluan? </h3>
<p> Contoh pengesahan bebas kata laluan termasuk pengesahan biometrik (seperti pengimbasan cap jari atau pengenalan muka), pengesahan peranti mudah alih (seperti kod SMS atau pemberitahuan push), dan token perkakasan (seperti kunci keselamatan). </p>
<h3> Adakah Pengesahan Tanpa Kata Laluan Masa Depan Keselamatan Dalam Talian pada masa akan datang? </h3>
<p> Ramai pakar percaya bahawa pengesahan bebas kata laluan adalah masa depan keselamatan dalam talian pada masa akan datang. Oleh kerana batasan dan risiko yang berkaitan dengan kata laluan menjadi semakin jelas, semakin banyak perniagaan beralih kepada pengesahan bebas kata laluan untuk meningkatkan keselamatan dan meningkatkan pengalaman pengguna. </p>
<h3> Bolehkah pengesahan bebas kata laluan digunakan bersempena dengan langkah-langkah keselamatan yang lain? </h3>
<p> Ya, pengesahan tanpa kata laluan boleh dan harus digunakan bersamaan dengan langkah -langkah keselamatan yang lain untuk perlindungan optimum. Ini mungkin termasuk penyulitan, amalan pengekodan yang selamat, dan audit keselamatan biasa. </p>
<h3> Apakah peranan pengguna dalam pengesahan tanpa kata laluan? </h3>
<p> Pengguna memainkan peranan penting dalam pengesahan bebas kata laluan. Mereka perlu melindungi faktor pengesahan mereka (seperti peranti mudah alih mereka atau data biometrik) dan memahami potensi ancaman keselamatan. Mereka juga perlu gembira dengan kaedah pengesahan baru untuk melindungi diri mereka. </p>
</div>
</div>
</div></code>

Atas ialah kandungan terperinci Apa pengesahan tanpa kata laluan dan bagaimana melaksanakannya. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!