Mengapa Pengesahan Tanpa Kata Laluan Berfungsi

mengucapkan selamat tinggal kepada kata laluan anda! Kelebihan dan amalan pengesahan tanpa kata laluan

Pengesahan bebas kata laluan menggunakan alat komunikasi peribadi yang selamat seperti mesej e-mel dan teks untuk menyediakan alternatif yang lebih selamat dan lebih mesra kepada sistem berasaskan kata laluan tradisional. Ia menjimatkan pengguna dari kerumitan membuat dan mengingati kata laluan, dan tidak ada storan kata laluan yang boleh digodam atau ditebak.

Kelebihan Pengesahan Tanpa Kata Laluan:

• Keselamatan: Tidak perlu menyimpan kata laluan, menghapuskan risiko kata laluan yang retak atau ditebak. Walaupun maklumat itu dipintas, penyerang hanya mendapat salah satu token dan tidak boleh log masuk.
• Keberkesanan kos: Pembangunan dan penempatan memerlukan kurang kod, dan pasukan sokongan tidak perlu menangani pelbagai isu yang berkaitan dengan kata laluan, dengan itu mengurangkan kos operasi. Terutamanya sesuai untuk aplikasi di mana masa tamat sesi panjang atau pengguna hanya perlu mengakses sesekali. Pengguna Pengguna:
Pengguna tidak perlu membuat atau mengingati kata laluan mereka, dan proses log masuk lebih mudah dan lebih cepat.
prinsip kata laluan Pengesahan yang tidak dapat dilihat:

Kami menggunakan kaedah pengesahan yang sama seperti permulaan internet. Malangnya, kata laluan semakin mudah pecah:

Kekuatan kata laluan biasanya tidak mencukupi. Tinjauan menunjukkan bahawa satu dalam 10 akaun menggunakan salah satu daripada dua puluh kata laluan yang paling popular. "123456" digunakan oleh lebih daripada 4% akaun;

Pengguna menggunakan kata laluan lemah yang sama di beberapa laman web. Sekiranya penggodam memecahkan akaun Facebook seseorang, dia mungkin dapat mengakses akaun PayPal mereka juga. Keselamatan kata laluan anda bergantung kepada keselamatan sistem paling lemah yang anda gunakan.
Pelanggaran data perusahaan menjadi semakin kerap dan telah menarik perhatian media arus perdana. Ia dengan mudah boleh membuat orang terkenal, membalas atau memeras ugut. Beberapa syarikat disediakan untuk tindakan keganasan siber, dan walaupun sering mendakwa sebagai "serangan yang berterusan kompleks", banyak pelanggaran keselamatan adalah suntikan SQL yang mudah disebabkan oleh teknologi pembangunan yang lemah.
Dari perspektif pengekodan, pengesahan adalah rumit dan rawan ralat. Memeriksa kelayakan hanyalah permulaan masalah: anda perlu memastikan tidak ada kelemahan keselamatan, hash rentetan hash menggunakan algoritma yang kuat (dan lambat), yang membolehkan pengguna menetapkan semula kata laluan yang dilupakan, dan menjawabnya yang tidak Nampaknya ingat dengan betul atau taipkan rentetan pendek pengguna yang mengelirukan menyokong telefon.
penyelesaian lain, seperti biometrik atau oauth, bergantung pada perkakasan atau akaun media sosial yang sesuai. Beberapa laman web melaksanakannya dengan baik dan masih perlu memulihkan kaedah e -mel/kata laluan untuk sesetengah pengguna.
• Pengesahan bebas kata laluan adalah prasyarat yang apabila kebanyakan pengguna mempunyai akaun komunikasi peribadi yang selamat (seperti mesej e-mel dan teks), kata laluan tidak perlu. Aplikasi boleh menggunakan sistem ini:

1. Pengguna melawat laman web dan memasuki ID (seperti alamat e -mel) untuk log masuk.
2. Sistem menghantar mesej yang mengandungi pautan kepada pengguna;

Dengan kata lain, aplikasi membuat kata laluan satu kali secara rawak dan secara senyap-senyap memberitahu pengguna apabila memerlukan akses. Ini sama dengan proses menetapkan semula kata laluan anda - banyak pengguna melakukan ini setiap kali mereka log masuk! E -mel adalah pilihan yang jelas, tetapi sebarang perkhidmatan pemesejan lain boleh digunakan - seperti SMS, Slack, Skype, mesej segera dan juga mesej langsung Twitter. Jika anda tidak mahu bergantung pada satu sistem, terdapat banyak pilihan yang tersedia. Di sebalik tabir, ia akan menjadi lebih rumit untuk memastikan bahawa hanya satu orang yang boleh menggunakan pautan log masuk. Proses umum adalah seperti berikut:

pelayan mengesahkan bahawa akaun dengan alamat e -mel wujud.
Pelayan mencipta dua token (seperti GUID hexadecimal 24-character) dan mengaitkan kedua-dua token ini dengan percubaan log masuk ini. Token pertama dihantar kembali ke peranti log masuk -biasanya sebagai cookie penyemak imbas. Token kedua dikodkan dalam pautan yang dihantar kepada pengguna melalui e -mel.
Apabila mengklik pada pautan, pelayan menerima dua token dan mengesahkannya berdasarkan percubaan log masuk tunggal. Terdapat pilihan untuk melakukan pemeriksaan selanjutnya untuk memastikan bahawa pautan itu diklik dalam beberapa minit dan bahawa alamat IP dan rentetan ejen pengguna penyemak imbas tidak berubah.
Jika semua pengesahan diluluskan, sesi sebenar akan dimulakan dan pengguna akan log masuk. Jika mana -mana langkah gagal, semua token yang berkaitan akan menjadi tidak sah;

senario yang berkenaan untuk pengesahan tanpa kata laluan:

Walaupun masa log masuk sedikit lebih lama - ini adalah pada masa yang sama dengan menggunakan pengurus kata laluan! Pengesahan bebas kata laluan boleh digunakan untuk aplikasi di mana masa tamat sesi panjang atau pengguna hanya perlu melawat sekali-sekala, seperti laman web membeli-belah, rangkaian sosial, forum, sistem tiket, dan sistem pengurusan kandungan. Nampaknya pelik menggunakannya untuk sistem pemesejan kerana anda memerlukan sistem lain untuk log masuk! Anda juga tidak mahu bank anda bergantung sepenuhnya kepada AOL untuk keselamatannya, walaupun proses pengesahan tambahan dapat melengkapkannya. Jika anda membuat aplikasi baru, pertimbangkan untuk menggunakan pengesahan bebas kata laluan. Walau bagaimanapun, isu mengemas kini aplikasi sedia ada (banyak pengguna kini mempunyai kata laluan). Saya cadangkan menjalankan pengesahan bebas kata laluan selari dan bukannya beralih ke proses log masuk baru semalaman. Menawarkannya sebagai pilihan -terutamanya untuk pengguna yang menetapkan semula kata laluan mereka -dan menilai penggunaan selepas beberapa bulan untuk menentukan sama ada ia boleh dilaksanakan.

Ujian Kes Praktikal:

Saya melaksanakan pengesahan bebas kata laluan dalam aplikasi baru, yang digunakan oleh pelanggan untuk beratus-ratus pelanggan dalaman dan luaran. Kira -kira separuh daripada pangkalan pengguna mempunyai kemahiran IT yang baik dan akses setiap hari, jadi sesi mereka jarang tamat. Separuh lagi adalah pengurus, yang log masuk sekali atau dua kali sebulan - ramai orang lupa atau memasukkan kata laluan yang salah. Masalah terbesar: Pelanggan mesti yakin. "Tiada kata laluan" terdengar tidak selamat dan beberapa orang melihatnya di tempat lain. Saya bernasib baik: Pelanggan mempunyai pengurus projek yang sangat mahir yang memahami konsep ini. Walaupun demikian, jika ada kegagalan, saya bersetuju untuk menambah kata laluan. Sejak itu, semuanya berjalan lancar. Saya terpaksa mengintegrasikan pelaksanaan saya sendiri atas sebab-sebab teknikal, dan bukannya bergantung kepada perpustakaan pihak ketiga. Ia mengambil masa kurang dari sehari dan tidak memerlukan pengurusan kata laluan biasa, hash dan menetapkan semula karut kita biasanya membangun dan menguji. Manfaat terbesar: Pengguna memahami pengesahan bebas kata laluan. Proses ini mudah, tetapi lebih baik memberikan arahan mudah di semua peringkat. Contohnya:

Anda telah dihantar e -mel pautan masuk. Jika tidak diterima, sila periksa folder spam anda.
Sila klik pautan ini ke log masuk ... Anda mempunyai 10 minit untuk membuka pautan ini dalam penyemak imbas yang sama.
Tidak ada yang keliru. Tiada siapa yang berjuang. Tiada siapa yang memuji sistem itu, tetapi tiada siapa yang mengadu; Bilangan isu log masuk yang berkaitan dengan kata laluan menurun kepada sifar dari hari Rabu hingga empat seminggu.

Kesimpulan:

Saya tidak boleh mengatakan bahawa pengesahan bebas kata laluan berfungsi di mana-mana, tetapi pengalaman sangat positif. Saya berubah fikiran. Mulai sekarang, semua aplikasi saya akan menjadi kata laluan. Sesetengah pelanggan mungkin tidak berpuas hati - tetapi saya akan menambah kotak kata laluan maya ke borang log masuk mereka dan mengabaikannya! Adakah anda telah melaksanakan pengesahan bebas kata laluan? Adakah ini pengalaman yang baik atau buruk?

(Berikut adalah bahagian FAQ, yang pada dasarnya sama dengan kandungan FAQ asal, kecuali bahawa ayat-ayat itu sedikit diselaraskan untuk mengekalkan kelancaran dan pseudo-asal)

Soalan Lazim mengenai Kata Laluan Pengesahan Invisible (FAQ):

• Apakah kelebihan utama pengesahan bebas kata laluan?

  Pengesahan bebas kata laluan meningkatkan keselamatan, meningkatkan pengalaman pengguna, dan mengurangkan kos operasi. Ia menghapuskan risiko kelemahan keselamatan yang berkaitan dengan kata laluan, memudahkan proses log masuk, dan mengurangkan masa dan sumber yang diperlukan untuk pengurusan dan pemulihan kata laluan.

• Bagaimana pengesahan kata laluan bebas berfungsi?

  Pengesahan bebas kata laluan mengesahkan identiti pengguna dengan menggunakan faktor selain kata laluan, seperti apa yang pengguna memiliki (telefon pintar atau token perkakasan), identiti pengguna (data biologi seperti cap jari atau pengenalan wajah), atau tingkah laku pengguna ( biometrik tingkah laku). Sistem ini akan menghantar kod satu kali atau pautan ke peranti pengguna atau menggunakan data biometrik untuk mengesahkan identiti pengguna.

• Adakah pengesahan bebas kata laluan selamat? Pengesahan bebas kata laluan biasanya lebih selamat daripada pengesahan berasaskan kata laluan tradisional kerana ia menghapuskan risiko serangan dan kelemahan yang berkaitan dengan kata laluan. Walau bagaimanapun, seperti mana-mana langkah keselamatan yang lain, ia tidak benar-benar mudah dibakar dan harus digunakan bersamaan dengan langkah-langkah keselamatan lain seperti protokol pengesahan multi-faktor dan keselamatan.

• Apakah cabaran melaksanakan pengesahan bebas kata laluan? Melaksanakan pengesahan bebas kata laluan boleh menghadapi beberapa cabaran, termasuk penerimaan pengguna, cabaran teknikal dan risiko keselamatan yang berpotensi.

• Bolehkah pengesahan bebas kata laluan digunakan untuk semua jenis aplikasi? Pengesahan tanpa kata laluan boleh digunakan dalam pelbagai aplikasi, tetapi tidak semua aplikasi terpakai. Kebolehgunaannya bergantung kepada keperluan keselamatan aplikasi, asas pengguna, dan sumber yang tersedia untuk pelaksanaan dan pengurusan. Ia paling sesuai untuk aplikasi di mana kemudahan pengguna adalah keutamaan dan mempunyai risiko pelanggaran data yang tinggi.

• Bagaimanakah pengesahan bebas kata laluan meningkatkan pengalaman pengguna? Pengesahan bebas kata laluan meningkatkan pengalaman pengguna dengan menghapuskan keperluan pengguna untuk mengingati dan memasukkan kata laluan yang kompleks. Ia juga memudahkan proses log masuk, menjadikannya lebih cepat dan lebih mudah. Pengguna tidak lagi perlu melalui proses penetapan semula kata laluan, yang boleh mengecewakan dan memakan masa.

• Apakah perbezaan antara pengesahan bebas kata laluan dan pengesahan multi-faktor? Pengesahan bebas kata laluan adalah kaedah untuk mengesahkan identiti pengguna tanpa menggunakan kata laluan. Pengesahan multifaktor, sebaliknya, adalah kaedah menggunakan dua atau lebih faktor bebas untuk mengesahkan identiti pengguna. Pengesahan bebas kata laluan boleh digunakan sebagai sebahagian daripada pengesahan multi-faktor, salah satunya tidak melibatkan kata laluan.

• Apakah beberapa contoh kaedah pengesahan bebas kata laluan? Beberapa contoh kaedah pengesahan bebas kata laluan termasuk pengesahan biometrik (seperti pengimbasan cap jari atau pengiktirafan muka), token perkakasan, token perisian, dan pemberitahuan push mudah alih. Kaedah ini boleh digunakan secara bersendirian atau dalam kombinasi untuk meningkatkan keselamatan.

• Adakah kos untuk melaksanakan pengesahan bebas kata laluan tinggi? Kos pelaksanaan pengesahan bebas kata laluan boleh berubah dari satu faktor ke yang lain, termasuk saiz asas pengguna, kerumitan sistem sedia ada, dan pendekatan bebas kata laluan yang dipilih. Walaupun ia mungkin memerlukan pelaburan pendahuluan, ia dapat menjimatkan kos dalam jangka masa panjang dengan mengurangkan sumber yang digunakan untuk pengurusan kata laluan dan pemulihan.

• Bagaimana peralihan ke pengesahan bebas kata laluan? Peralihan ke pengesahan bebas kata laluan melibatkan beberapa langkah. Pertama, anda perlu menilai keperluan keselamatan anda dan memilih pendekatan yang betul. Anda kemudian perlu mengemas kini sistem dan proses anda untuk menyokong kaedah yang dipilih. Akhirnya, anda perlu mendidik pengguna anda tentang kaedah baru dan membimbing mereka melalui proses peralihan. Adalah disyorkan untuk bekerjasama dengan penyedia keselamatan yang dipercayai untuk memastikan peralihan yang lancar.

Atas ialah kandungan terperinci Mengapa Pengesahan Tanpa Kata Laluan Berfungsi. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!