为什么无密码的身份验证有效

告别密码！密码无感认证的优势与实践

密码无感认证，利用安全的个人通讯工具（如邮箱和短信），为传统的基于密码的系统提供更安全、更友好的替代方案。它免去了用户创建和记住密码的麻烦，并且没有可被黑客攻击或猜测的密码存储。

密码无感认证的优势：

• 安全性: 无需存储密码，杜绝了密码被破解或猜测的风险。即使信息被拦截，攻击者也仅获得其中一个令牌，无法登录。
• 成本效益: 开发和部署所需代码更少，支持团队无需处理与密码相关的各种问题，从而降低运营成本。特别适用于会话超时时间较长或用户仅需偶尔访问的应用程序。
• 用户体验: 用户无需创建或记住密码，登录过程更简便快捷。

密码无感认证的工作原理：

我们沿用着网络诞生之初的相同身份验证方法。不幸的是，密码越来越容易被攻破：

• 密码强度普遍不足。调查显示，十分之一的账户使用的是最流行的二十个密码中的一个。“123456”被超过4%的账户使用；“password”仍然是最常用的密码之一。
• 用户在多个网站上使用相同的弱密码。如果黑客攻破了某人的Facebook账户，很可能也能访问他们的PayPal账户。您的密码安全性取决于您使用的最弱系统的安全性。
• 企业数据泄露事件日益频繁，并受到主流媒体关注。这很容易让人出名、报复或进行敲诈。很少有公司为网络恐怖主义行为做好准备，尽管通常声称是“持续复杂的攻击”，但许多安全漏洞都是由糟糕的开发技术造成的简单的SQL注入。
• 从编码角度来看，身份验证很繁琐，而且容易出错。检查凭据只是问题的开始：您需要确保没有安全漏洞，使用强大（且缓慢）的算法对哈希字符串进行哈希处理，允许用户重置忘记的密码，并接听那些似乎无法正确记住或键入短字符串的困惑用户的支持电话。
• 其他解决方案，如生物识别或OAuth，依赖于硬件或合适的社交媒体帐户。很少有网站能很好地实现它，并且仍然需要为某些用户恢复到电子邮件/密码方法。

密码无感认证的前提是，当大多数用户拥有安全的个人通讯帐户（如电子邮件和短信）时，密码是不必要的。应用程序可以利用这些系统：

1. 用户访问网站并输入ID（例如电子邮件地址）进行登录。
2. 系统向用户发送包含链接的消息；用户点击链接即可登录。

换句话说，应用程序创建一个随机的一次性密码，并在用户需要访问时将其悄悄告知用户。这与重置密码的过程类似——许多用户无论如何每次登录都会这样做！电子邮件是一个显而易见的选择，但任何其他消息服务都可以使用——例如短信、Slack、Skype、即时消息甚至Twitter直接消息。如果您不想依赖单个系统，可以提供多个选项。在幕后，确保只有一个人可以使用登录链接会稍微复杂一些。一般流程如下：

1. 服务器验证是否存在该电子邮件地址的帐户。
2. 服务器创建两个令牌（例如24个字符的十六进制GUID），并将这两个令牌与这次登录尝试相关联。第一个令牌发送回登录设备——通常作为浏览器cookie。第二个令牌编码在通过电子邮件发送给用户的链接中。
3. 点击链接时，服务器将接收两个令牌，并根据单次登录尝试对其进行验证。可以选择进行进一步检查，以确保链接在几分钟内被点击，并且IP地址和浏览器用户代理字符串没有更改。
4. 如果一切验证通过，则启动真实会话，用户登录。如果任何步骤失败，所有关联的令牌都将失效；无法再次使用它们。

密码无感认证的适用场景：

虽然登录时间稍长一些——但这与使用密码管理器的时间差不多！密码无感认证可以应用于会话超时时间较长或用户仅需偶尔访问的应用程序，例如购物网站、社交网络、论坛、票务系统和内容管理系统。将其用于消息系统会显得奇怪，因为您需要另一个系统来登录！您也不希望您的银行完全依赖AOL来保证其安全性，尽管辅助身份验证过程可以补充它。如果您正在创建一个新应用程序，可以考虑使用密码无感认证。但是，更新现有应用程序（许多用户当前拥有密码）的问题更大。我建议并行运行密码无感认证，而不是一夜之间切换到新的登录流程。将其作为一种选择提供——特别是对于重置密码的用户——并在几个月后评估采用情况，以确定其是否可行。

实际案例测试：

我在一个新应用程序中实现了密码无感认证，该应用程序由客户用于数百名内部人员和外部客户。大约一半的用户群拥有良好的IT技能并每天访问，因此他们的会话很少过期。另一半主要是经理，他们每月登录一两次——许多人忘记或输错密码。最大的问题：必须说服客户。“无密码”听起来不安全，很少有人在其他地方见过它。我很幸运：客户有一位技术精湛的项目经理，他理解这个概念。即便如此，如果出现任何故障，我也同意添加密码。从那时起，一切都很顺利。由于技术原因，我不得不集成我自己的实现，而不是依赖第三方库。它花费不到一天的时间，而且不需要我们通常开发和测试的通常的密码管理、哈希和重置废话。最大的好处：用户理解密码无感认证。该过程很简单，但在所有阶段最好提供简单的说明。例如：

• 已向您发送登录链接电子邮件。如果未收到，请检查您的垃圾邮件文件夹。
• 请点击此链接登录……您有10分钟的时间在同一浏览器中打开此链接。

没有人感到困惑。没有人挣扎。没有人称赞这个系统，但也没有人抱怨；人们接受了这个过程，它并没有妨碍他们。与密码相关的登录问题数量从每周三到四个减少到零。

结论：

我不能说密码无感认证在任何地方都能工作，但经验是压倒性积极的。我改变了主意。从现在开始，我的所有应用程序都将采用无密码方式。一些客户可能不满意——但我会在他们的登录表单上添加一个虚拟密码框并忽略它！您是否实现了密码无感认证？这是一次好的还是坏的体验？

(以下为FAQ部分，与原文FAQ内容基本一致，只是语句略微调整，以保持流畅性及伪原创性)

关于密码无感认证的常见问题 (FAQ):

• 密码无感认证的主要优势是什么？ 密码无感认证增强安全性，提升用户体验，并降低运营成本。它消除了密码相关的安全漏洞风险，简化了登录流程，减少了密码管理和恢复所需的时间和资源。

• 密码无感认证是如何工作的？ 密码无感认证通过使用密码以外的因素来验证用户身份，例如用户拥有的东西（智能手机或硬件令牌）、用户的身份（指纹或面部识别等生物特征数据）或用户的行为（行为生物特征）。系统会将一次性代码或链接发送到用户的设备，或使用生物特征数据来验证用户身份。

• 密码无感认证安全吗？ 密码无感认证通常比传统的基于密码的身份验证更安全，因为它消除了与密码相关的攻击和漏洞的风险。但是，与任何其他安全措施一样，它并非完全万无一失，应与其他安全措施（如多因素身份验证和安全协议）结合使用。

• 实施密码无感认证的挑战是什么？ 实施密码无感认证可能面临一些挑战，包括用户接受度、技术挑战和潜在的安全风险。

• 密码无感认证可以用于所有类型的应用程序吗？ 密码无感认证可以用于各种应用程序，但并非所有应用程序都适用。其适用性取决于应用程序的安全要求、用户群和可用于实施和管理的资源。它最适合用户便利性是优先考虑事项且数据泄露风险较高的应用程序。

• 密码无感认证如何改善用户体验？ 密码无感认证通过消除用户记住和输入复杂密码的需要来改善用户体验。它还简化了登录过程，使其更快、更方便。用户不再需要经历密码重置过程，这可能会令人沮丧且费时。

• 密码无感认证和多因素身份验证有什么区别？ 密码无感认证是一种无需使用密码即可验证用户身份的方法。另一方面，多因素身份验证是一种使用两个或多个独立因素来验证用户身份的方法。密码无感认证可以作为多因素身份验证的一部分，其中一个因素不涉及密码。

• 密码无感认证方法的一些示例是什么？ 密码无感认证方法的一些示例包括生物识别身份验证（如指纹扫描或面部识别）、硬件令牌、软件令牌和移动推送通知。这些方法可以单独使用，也可以组合使用以增强安全性。

• 实施密码无感认证的成本高吗？ 实施密码无感认证的成本可能因多种因素而异，包括用户群规模、现有系统的复杂性和所选的无密码方法。虽然它可能需要前期投资，但从长远来看，它可以通过减少用于密码管理和恢复的资源来节省成本。

• 如何过渡到密码无感认证？ 过渡到密码无感认证包括几个步骤。首先，您需要评估您的安全需求并选择合适的方法。然后，您需要更新您的系统和流程以支持所选方法。最后，您需要教育您的用户了解新方法并指导他们完成过渡过程。建议与值得信赖的安全提供商合作，以确保顺利过渡。

以上是为什么无密码的身份验证有效的详细内容。更多信息请关注PHP中文网其他相关文章！