什麼是無密碼的身份驗證以及如何實施它
- Joseph Gordon-Levitt原創
- 2025-02-10 12:38:14914瀏覽
告別密碼時代!無密碼身份驗證的安全性與便捷性
核心要點:
- 無密碼身份驗證是一種用戶管理方法,它通過所有權或固有因素(例如生物特徵)驗證用戶的身份,而不是使用基於知識的因素(例如密碼)。常見的無密碼方法包括一次性驗證碼、魔法鏈接、生物識別登錄、智能卡和數字證書。
- 無密碼身份驗證在安全性及用戶體驗方面優勢顯著,它降低了網絡釣魚和密碼盜竊的風險,減少了憑據重複使用的情況,免去了用戶記憶多個密碼的困擾,並加快了登錄速度。預計到2027年,無密碼認證將超越密碼的使用。
- 儘管無密碼身份驗證有很多優勢,但它也存在一些局限性,例如用戶體驗不熟悉、設備被盜或SIM卡被盜用的風險,以及生物識別安全並非完美無缺。建議盡可能使用多因素身份驗證 (MFA) 以增強安全性。
- 在網站或應用程序上實施無密碼身份驗證可以通過用戶管理解決方案或身份驗證服務提供商來實現。本文提供了一個分步指南,介紹如何使用名為Frontegg的提供商集成無密碼方法。
無密碼身份驗證是一種用戶無需密碼或密鑰即可登錄系統或應用程序的用戶管理方法。它通過所有權因素(例如電子郵件帳戶)或固有因素(例如面部識別)來驗證用戶的身份,而不是使用基於知識的因素(例如密碼)。
此文章是與Frontegg合作創建的。感謝您支持使SitePoint成為可能的合作夥伴。
許多身份驗證方法被用作密碼的替代方案:
- 一次性驗證碼 (OTC)
- 魔法鏈接
- 生物識別登錄(指紋、Face ID、語音識別)
- 智能卡或物理令牌
- 數字證書
無密碼身份驗證的普及
您可能已經在不知不覺中使用了“無密碼身份驗證”。許多銀行應用程序使用指紋和語音識別來驗證用戶。 Slack 則以使用魔法鏈接來驗證用戶而聞名。
過去幾年,無密碼身份驗證的使用穩步增長。身份驗證提供商 Auth0 預測,無密碼身份驗證將在 2027 年超越密碼的使用。 Gartner 預測,到 2022 年,“60% 的大型和全球性企業以及 90% 的中型企業將在超過 50% 的用例中實施無密碼方法——高於 2018 年的 5%”。
網絡巨頭也在盡最大努力加速這項技術的採用。在 2022 年的世界密碼日,谷歌、微軟和蘋果宣布了他們擴大對創建的通用無密碼登錄標準的支持的計劃。
2022 年 6 月,蘋果宣布了他們的新“密碼密鑰”功能,用於登錄網站和應用程序。此公告實際上意味著蘋果將使用 Touch ID 或 Face ID 為該網站創建數字密鑰。這樣就無需創建和寫下密碼。
無密碼身份驗證的優勢
無密碼身份驗證提供安全性和用戶體驗優勢:
- 降低網絡釣魚和密碼盜竊風險:用戶不會受到網絡釣魚攻擊的影響,在網絡釣魚攻擊中,用戶會被帶到假冒網站並輸入其登錄憑據。如果用戶不輸入密碼,他們就不會受到暴力破解攻擊、密碼數據洩露和其他類型的憑據盜竊的影響。
- 減少憑據重複使用:在多個服務和帳戶中重複使用密碼會對用戶和您的系統造成更大的風險,這是無法避免的。據報導,64% 的人將一個漏洞中暴露的相同密碼用於其他帳戶。
- 無需記憶密碼:您的用戶無需記住眾多帳戶的用戶名和密碼。有時,在多次登錄失敗後,他們不得不一次又一次地重置密碼。
- 更快的登錄速度:我們都很忙。建議強密碼至少為 16 個字符長,與掃描指紋或打開魔法鏈接相比,輸入強密碼需要很長時間。
無密碼身份驗證的局限性
無密碼身份驗證並非完美無缺,從安全性和體驗的角度來看,它也有一些局限性。
- 不熟悉的用戶體驗:許多人習慣於輸入或自動填充密碼。轉換為魔法鏈接或一次性驗證碼可能會讓用戶感到震驚。
- 設備被盜或SIM卡被盜用的風險:通過短信發送一次性驗證碼可能會讓您的用戶在手機被盜或成為SIM 卡被盜騙局受害者時變得脆弱。
- 生物識別安全並非完美無缺:多年來,指紋掃描儀、Touch ID 和 Face ID 都被成功破解。
依賴任何單一因素進行身份驗證(無論是否有密碼)都會帶來一定程度的風險。我們建議盡可能使用多因素身份驗證 (MFA)。
無密碼身份驗證安全嗎?
是的,無密碼身份驗證被認為是安全的,但它並非完全沒有風險。沒有密碼的帳戶不必擔心密碼落入惡意人員手中。這可能是通過數據洩露、暴力破解攻擊、設備丟失或錯放的便利貼發生的。
與無密碼身份驗證相關的許多風險也同樣適用於其他方法。
如果黑客可以訪問您的電子郵件帳戶,並且您正在使用魔法鏈接進行無密碼身份驗證,他們將能夠輕鬆登錄。但是,如果您使用常規密碼,則此風險也是相同的。惡意行為者只需要點擊“重置密碼”並將重置鏈接發送到同一電子郵件地址即可。
最後,與任何其他系統一樣,無密碼身份驗證系統也容易受到直接攻擊,以破壞或規避安全措施。無論您採取多麼安全的措施,存儲和驗證您的憑據的系統永遠不會完全安全。
指紋驗證和其他生物識別因素更難欺騙,但並非不可能,並且提供了一種非常安全的方式來授權自己。
無密碼身份驗證與多因素身份驗證 (MFA)
多因素身份驗證是一種在登錄時使用多種身份驗證因素的方法。這種情況的一個非常常見的例子是,當使用用戶名和密碼登錄帳戶時,然後會收到一個 6 位數的一次性驗證碼 (OTC) 來確認您的設備所有權。
在此示例中,OTC 因素是無密碼的。相反,如果您要使用指紋和一次性驗證碼,那麼您將擁有一個完全無密碼的 MFA 設置。
如何在您的網站上實施無密碼身份驗證
將無密碼身份驗證集成到您的應用程序或網站中比以往任何時候都更容易。根據您現有的基礎設施,您現在有很多選擇:
-
用戶管理解決方案:這些提供商提供完全託管的服務,不僅提供傳統和無密碼身份驗證,還提供用戶管理和權限管理。
- 何時使用:新的系統構建、初創公司和希望避免所有低價值和高風險開發工作的團隊。
- 何時不使用:如果您有一套非常定制的身份驗證或用戶管理要求,這些要求可能不適合他們的系統。
- 提供商:Frontegg、Okta/Auth0、FusionAuth、Trusona、AppWrite
-
身份驗證服務提供商:這些服務提供用戶身份驗證、訪問管理以及其他服務,例如會話管理。
- 何時使用:您擁有現有的用戶管理服務,並希望有人來處理密碼和身份驗證。
- 何時不使用:您擁有有限的開發經驗或資源。如果您有一個簡單的身份和訪問管理模型,您可能需要考慮上面提到的完全託管的解決方案。
- 提供商:AWS Cognito、Google Identity Platform、Microsoft Azure AD
使用 React 進行無密碼身份驗證 – 速成教程
為了演示向您的用戶引入無密碼方法有多麼容易,我們將帶您完成一個使用名為 Frontegg 的提供商的 5 分鐘教程。一個自助式端到端用戶管理平台,除了其他用戶管理功能外,還提供幾種無密碼登錄方法。
構建登錄和身份驗證服務非常耗時,並且不會為用戶流程增加價值,但如果您做錯了,則可能會造成損害。隨著提供身份驗證的服務變得更好和更便宜,沒有多少理由為您的應用程序構建自己的密碼驗證系統。
-
創建您的免費 Frontegg 帳戶
通過他們的網站創建您的 Frontegg 帳戶。在入門過程中,請務必選擇魔法代碼或魔法鏈接作為您的無密碼選項!
-
開始集成過程
完成登錄框的創建並選擇無密碼方法後,您將看到一個“發佈到開發”選項。
Frontegg 使用環境(開發、質量保證、暫存、生產),這些環境具有唯一的子域、密鑰和 URL,用於您的身份驗證環境。
您現在將被帶到一個包含一些示例代碼的頁面,更重要的是,您的 baseURL 和 clientID。請保持此頁面打開,然後轉到您的 IDE 進行下一步。
-
創建 React 應用程序(如果您已經有自己的應用程序,請跳過此步驟)
在您的終端中鍵入以下命令以創建一個新的 React 應用程序並導航到新目錄。
<code>npx create-react-app app-with-frontegg cd app-with-frontegg</code>
-
安裝並導入 Frontegg
運行以下命令以安裝 Frontegg React 庫和 react-router。如果您的應用程序中已安裝 react-router,則可以跳過安裝。
<code>npm install @frontegg/react react-router-dom</code>
-
配置登錄設置
在 src/index.js 文件中,添加以下代碼。然後返回您的 Frontegg 頁面,並從代碼示例中找到 baseUrl 和 clientID。
注意:完成此入門流程後,這些值始終可以在您的工作區的管理部分找到。
<code class="language-javascript">import React from 'react';
import ReactDOM from 'react-dom'; // For react 17
// For react 18: import ReactDOM from 'react-dom/client';
import App from './App';
import './index.css';
import { FronteggProvider } from '@frontegg/react';
const contextOptions = {
baseUrl: '## YOUR BASE URL ##',
clientId: '## YOUR CLIENT ID ##'
};
// For react 18:
// const root = ReactDOM.createRoot(document.getElementById('root'));
// root.render(
ReactDOM.render(
<fronteggprovider contextoptions="{contextOptions}" hostedloginbox="{true}">
<app></app>
</fronteggprovider>,
document.getElementById('root')
);</code>
-
重定向到登錄頁面
使用 Frontegg useAuth hook,您可以確定用戶是否已通過身份驗證。如果用戶未通過身份驗證,您可以使用 useLoginWithRedirect hook 將用戶重定向到登錄頁面(如下面的示例所示)。
<code class="language-javascript">import './App.css';
// import { useEffect } from 'react';
import { ContextHolder } from '@frontegg/rest-api';
import {
useAuth, useLoginWithRedirect
} from "@frontegg/react";
function App() {
const { user, isAuthenticated } = useAuth();
const loginWithRedirect = useLoginWithRedirect();
// Uncomment this to redirect to login automatically
// useEffect(() => {
// if (!isAuthenticated) {
// loginWithRedirect();
// }
// }, [isAuthenticated, loginWithRedirect]);
const logout = () => {
const baseUrl = ContextHolder.getContext().baseUrl;
window.location.href = `${baseUrl}/oauth/logout`
`?post_logout_redirect_uri=`
`${window.location}`;
};
return (
<div classname="App">
{isAuthenticated ? (
<div>
<div>
<img src="https://img.php.cn/upload/article/000/000/000/173916230294882.jpg" alt="What is Passwordless Authentication and How to Implement it ">
<p>單擊“註冊”,轉到您的電子郵件並單擊“激活我的帳戶”。 </p>
<p><img src="https://img.php.cn/upload/article/000/000/000/173916230376786.jpg" alt="What is Passwordless Authentication and How to Implement it "></p>
<p>當您要登錄時,您只需輸入您的電子郵件,等待六位數驗證碼到達即可登錄。無需密碼,無需擔心。 </p>
<p><strong>結論</strong></p>
<p>我希望本無密碼身份驗證指南不僅幫助您了解這項技術有多麼易於使用,而且還了解它在未來幾年將變得多麼重要。 </p>
<p><strong>無密碼身份驗證常見問題解答 (FAQ)</strong></p>
<h3>無密碼身份驗證的主要好處是什麼? </h3>
<p>無密碼身份驗證提供了多種好處。首先,它增強了用戶體驗,因為用戶不再需要記住複雜的密碼。其次,它通過消除與密碼相關的漏洞(例如暴力破解攻擊、字典攻擊和網絡釣魚)來提高安全性。最後,它降低了運營成本,因為企業不再需要投資於密碼恢復和重置程序。 </p>
<h3>無密碼身份驗證是如何工作的? </h3>
<p>無密碼身份驗證通過使用密碼以外的因素來驗證用戶的身份。這些因素可以是用戶知道的東西(例如 PIN 碼)、用戶擁有的東西(例如移動設備)或用戶自身的東西(例如指紋)。系統會將一次性代碼或鏈接發送到用戶的設備,然後用戶輸入或點擊該代碼或鏈接以獲得訪問權限。 </p>
<h3>無密碼身份驗證安全嗎? </h3>
<p>是的,無密碼身份驗證通常比傳統的基於密碼的身份驗證更安全。它消除了與密碼相關的攻擊和漏洞的風險。但是,與任何其他安全措施一樣,它並非完全萬無一失,應與其他安全措施結合使用以獲得最佳保護。 </p>
<h3>無密碼身份驗證可以用於所有類型的應用程序嗎? </h3>
<p>無密碼身份驗證可以用於各種應用程序,包括 Web 應用程序、移動應用程序,甚至物聯網設備。但是,無密碼身份驗證的適用性取決於應用程序的具體要求和安全需求。 </p>
<h3>實施無密碼身份驗證的挑戰是什麼? </h3>
<p>實施無密碼身份驗證可能會帶來一些挑戰。這些包括用戶接受度,因為一些用戶可能抗拒變化;技術挑戰,因為它需要對現有身份驗證基礎設施進行重大更改;以及監管挑戰,因為某些法規可能要求使用密碼。 </p>
<h3>我如何在應用程序中實施無密碼身份驗證? </h3>
<p>實施無密碼身份驗證涉及幾個步驟。首先,您需要選擇正確的身份驗證因素(例如生物識別或移動設備)。其次,您需要將此因素集成到您的身份驗證過程中。最後,您需要教育您的用戶了解新的身份驗證方法及其好處。 </p>
<h3>無密碼身份驗證的一些示例是什麼? </h3>
<p>無密碼身份驗證的示例包括生物識別身份驗證(例如指紋掃描或面部識別)、移動設備身份驗證(例如短信代碼或推送通知)和硬件令牌(例如安全密鑰)。 </p>
<h3>無密碼身份驗證是未來在線安全的未來嗎? </h3>
<p>許多專家認為無密碼身份驗證是未來在線安全的未來。隨著與密碼相關的局限性和風險越來越明顯,越來越多的企業正在轉向無密碼身份驗證以增強安全性並改善用戶體驗。 </p>
<h3>無密碼身份驗證可以與其他安全措施結合使用嗎? </h3>
<p>是的,無密碼身份驗證可以並且應該與其他安全措施結合使用以獲得最佳保護。這些可能包括加密、安全編碼實踐和定期安全審計。 </p>
<h3>用戶在無密碼身份驗證中的作用是什麼? </h3>
<p>用戶在無密碼身份驗證中起著至關重要的作用。他們需要保護其身份驗證因素(例如其移動設備或生物識別數據)並了解潛在的安全威脅。他們還需要樂於採用新的身份驗證方法來保護自身安全。 </p>
</div>
</div>
</div></code>以上是什麼是無密碼的身份驗證以及如何實施它的詳細內容。更多資訊請關注PHP中文網其他相關文章!