Verabschieden Sie sich von Ihrem Passwort! Vorteile und Praktiken der passwortlosen Authentifizierung

Kennwortfreie Authentifizierung verwendet sichere pers?nliche Kommunikationstools wie E-Mail- und Textnachrichten, um eine sicherere und freundlichere Alternative zu herk?mmlichen kennwortbasierten Systemen bereitzustellen. Es speichert Benutzer vor dem Erstellen und Erinnern von Kennw?rtern. Es gibt keinen Kennwortspeicher, der gehackt oder erraten werden kann.

Vorteile der passwortlosen Authentifizierung:

• Sicherheit: Sie müssen keine Passw?rter speichern, wodurch das Risiko beseitigt wird, dass Passw?rter geknackt oder vermutet werden. Selbst wenn die Informationen abgefangen werden, erh?lt der Angreifer nur einen der Token und kann sich nicht anmelden.
• Kosteneffizienz: Entwicklung und Bereitstellung erfordern weniger Code, und Supportteams müssen sich nicht mit verschiedenen kennwortbezogenen Problemen befassen, wodurch die Betriebskosten gesenkt werden. Besonders geeignet für Anwendungen, bei denen die Sitzungszeitüberschreitungen lang sind oder Benutzer nur gelegentlich zugreifen müssen.
• Benutzererfahrung: Benutzer müssen ihre Passw?rter nicht erstellen oder sich daran erinnern, und der Anmeldungsprozess ist einfacher und schneller.

Prinzip der Passwort unsichtbare Authentifizierung:

Wir verwenden dieselbe Authentifizierungsmethode wie der Beginn des Internets. Leider werden Passw?rter zunehmend anf?llig für Brechen:

• Die Passwortst?rke ist im Allgemeinen nicht ausreichend. Die Umfrage zeigt, dass jeder von 10 Konten eines der zwanzig beliebtesten Passw?rter verwendet. "123456" wird von mehr als 4% der Konten verwendet. "Passwort" ist immer noch eines der am h?ufigsten verwendeten Passw?rter.
• Benutzer verwenden das gleiche schwache Kennwort auf mehreren Websites. Wenn ein Hacker das Facebook -Konto eines Menschen durchbricht, kann er wahrscheinlich auch auf sein PayPal -Konto zugreifen. Ihre Passwortsicherheit h?ngt von der Sicherheit des schw?chsten Systems ab, das Sie verwenden.
• Unternehmensdatenverletzungen werden immer h?ufiger und haben die Aufmerksamkeit der Mainstream -Medien auf sich gezogen. Es kann die Menschen leicht berühmt machen, sich revanchieren oder erpresst werden. Nur wenige Unternehmen sind auf Cyber ??-Terrorismus vorbereitet, und obwohl sie oft behauptet, "kontinuierlich komplexe Angriffe" zu sein, sind viele Sicherheitsverletzungen einfache SQL -Injektionen, die durch schlechte Entwicklungstechnologie verursacht werden.
• Aus der Codierungsperspektive ist die Authentifizierung umst?ndlich und fehleranf?llig. Das überprüfen von Anmeldeinformationen ist nur der Beginn des Problems: Sie müssen sicherstellen Scheinen sich richtig zu erinnern oder kurze Zeichenfolgen verwirrender Benutzer zu unterstützen.
• Andere L?sungen wie Biometrie oder OAuth stützen sich auf Hardware oder ein geeignetes Social -Media -Konto. Nur wenige Websites implementieren es gut und müssen noch die E -Mail/Passwort -Methode für einige Benutzer wiederherstellen.

Die passwortfreie Authentifizierung ist die Voraussetzung, dass das Kennwort, wenn die meisten Benutzer ein sicheres pers?nliches Kommunikationskonto haben (z. B. E-Mail- und Textnachrichten), unn?tig ist. Anwendungen k?nnen diese Systeme nutzen:

1. Der Benutzer besucht die Website und gibt eine ID (z. B. eine E -Mail -Adresse) zum Anmelden ein.
2. Das System sendet eine Nachricht mit einem Link zum Benutzer.

Mit anderen Worten, die Anwendung erstellt ein zuf?lliges einmaliges Passwort und informiert den Benutzer leise, wenn sie Zugriff ben?tigt. Dies ?hnelt dem Prozess des Zurücksetzens Ihres Kennworts - viele Benutzer tun dies jedes Mal, wenn sie sich sowieso anmelden! E -Mail ist eine offensichtliche Wahl, aber jeder andere Messaging -Service kann verwendet werden - wie SMS, Slack, Skype, Sofortnachricht und sogar Twitter -Direktnachrichten. Wenn Sie sich nicht auf ein einzelnes System verlassen m?chten, stehen mehrere Optionen zur Verfügung. Hinter den Kulissen w?re es etwas komplizierter, um sicherzustellen, dass nur eine Person den Login -Link verwenden kann. Der allgemeine Prozess ist wie folgt:

1. Der Server überprüft, ob das Konto mit der E -Mail -Adresse vorhanden ist.
2. Der Server erstellt zwei Token (z. Das erste Token wird an das Anmeldeger?t zurückgeschickt - normalerweise als Browser -Cookie. Das zweite Token wird in einem Link codiert, der per E -Mail an den Benutzer gesendet wird.
3. beim Klicken auf den Link empf?ngt der Server zwei Token und überprüft sie basierend auf einem einzelnen Anmeldemversuch. Es besteht die M?glichkeit, weitere überprüfungen durchzuführen, um sicherzustellen, dass der Link innerhalb von Minuten geklickt wird und dass sich die IP -Adresse und die Browser -Benutzeragenten -String nicht ge?ndert haben.
4. Wenn alle überprüfungen übergeben werden, wird eine echte Sitzung gestartet und der Benutzer meldet sich an. Wenn ein Schritt fehlschl?gt, sind alle zugeh?rigen Token ungültig.

Anwendbare Szenarien für die kennwortlose Authentifizierung:

Obwohl die Anmeldezeit etwas l?nger ist - ist dies ungef?hr zur gleichen Zeit wie die Verwendung eines Passwort -Managers! Kennwortfreie Authentifizierung kann auf Anwendungen angewendet werden, bei denen Timeouts für Sitzungen lang sind oder Benutzer nur gelegentlich besuchen müssen, z. B. Einkaufswebsites, soziale Netzwerke, Foren, Ticketing-Systeme und Content-Management-Systeme. Es scheint seltsam, es für ein Messaging -System zu verwenden, da Sie ein anderes System ben?tigen, um sich anzumelden! Sie m?chten auch nicht, dass sich Ihre Bank für ihre Sicherheit ausschlie?lich auf AOL verl?sst, obwohl der Hilfsauthentifizierungsprozess sie erg?nzen kann. Wenn Sie eine neue Anwendung erstellen, sollten Sie eine kennwortfreie Authentifizierung verwenden. Das Problem der Aktualisierung vorhandener Anwendungen (viele Benutzer haben derzeit Passw?rter). Ich empfehle, eine passwordfreie Authentifizierung parallel auszuführen, anstatt über Nacht auf den neuen Anmeldevorgang zu wechseln. Bieten Sie es als Option an - insbesondere für Benutzer, die ihre Kennw?rter zurücksetzen - und bewerten Sie die Adoption nach einigen Monaten, um festzustellen, ob es machbar ist.

Praktischer Falltest:

Ich implementieren eine passwordfreie Authentifizierung in einer neuen Anwendung, die von Kunden für Hunderte interner und externer Kunden verwendet wird. Etwa die H?lfte der Benutzerbasis verfügt über gute IT -F?higkeiten und Zugriffe jeden Tag, sodass ihre Sitzungen selten ablaufen. Die andere H?lfte ist haupts?chlich Manager, die sich ein- oder zweimal im Monat anmelden - viele Leute vergessen oder geben das falsche Passwort ein. Das gr??te Problem: Der Kunde muss überzeugt sein. "Kein Passwort" klingt unsicher und nur wenige Leute haben es anderswo gesehen. Ich habe Glück: Der Kunde hat einen hochqualifizierten Projektmanager, der dieses Konzept versteht. Trotzdem stimme ich, wenn es einen Fehler gibt, ein Passwort hinzuzufügen. Seitdem lief alles gut. Ich musste meine eigenen Implementierungen aus technischen Gründen integrieren, anstatt mich auf Bibliotheken von Drittanbietern zu verlassen. Es dauert weniger als einen Tag und erfordert nicht die übliche Kennwortmanagement, Hashing- und Zurücksetzen von Unsinn, die wir normalerweise entwickeln und testen. Der gr??te Vorteil: Benutzer verstehen die kennwortfreie Authentifizierung. Der Prozess ist einfach, aber am besten, einfache Anweisungen in allen Phasen zu geben. Zum Beispiel:

• Sie haben eine E -Mail an Login -Link gesendet. Wenn nicht erhalten, überprüfen Sie bitte Ihren Spam -Ordner.
• Klicken Sie auf diesen Link, um sich anzumelden ... Sie haben 10 Minuten Zeit, um diesen Link im selben Browser zu ?ffnen.

Niemand war verwirrt. Niemand k?mpfte. Niemand lobte das System, aber niemand beschwerte sich; Die Anzahl der kennwortbezogenen Anmeldeprobleme nahm von Mittwoch auf vier pro Woche auf Null ab.

Schlussfolgerung:

Ich kann nicht sagen, dass die passwordfreie Authentifizierung überall funktioniert, aber die Erfahrung ist überwiegend positiv. Ich habe meine Meinung ge?ndert. Von nun an sind alle meine Anwendungen kennwortlos. Einige Kunden sind vielleicht nicht zufrieden - aber ich werde ihrem Anmeldeformular ein virtuelles Passwortbox hinzufügen und es ignorieren! Haben Sie eine kennwortfreie Authentifizierung implementiert? Ist das eine gute oder schlechte Erfahrung?

(Folgendes ist der FAQ h?ufig gestellte Fragen zur Passwort unsichtbare Authentifizierung (FAQ):

Was sind die Hauptvorteile der passwortfreien Authentifizierung?
• kennwortfreie Authentifizierung verbessert die Sicherheit, verbessert die Benutzererfahrung und senkt die Betriebskosten. Es beseitigt das kennwortbezogene Risiko für Sicherheitslücken, vereinfacht den Anmeldungsprozess und verkürzt die Zeit und die Ressourcen, die für das Kennwortmanagement und die Wiederherstellung erforderlich sind.

Wie funktioniert die passwortfreie Authentifizierung?
• Authentifizierung ohne Passwortfreiheit überprüft die Identit?t des Benutzers, indem sie andere Faktoren als Passw?rter verwenden, z. Verhaltensbiometrie). Das System sendet einen einmaligen Code oder einen Link zum Ger?t des Benutzers oder verwendet biometrische Daten, um die Identit?t des Benutzers zu überprüfen.

• Ist die passwortfreie Authentifizierung sicher? kennwortfreie Authentifizierung ist in der Regel sicherer als herk?mmliche kennwortbasierte Authentifizierung, da das Risiko von kennwortbezogenen Angriffen und Schwachstellen beseitigt. Wie bei jeder anderen Sicherheitsma?nahme ist es jedoch nicht vollst?ndig narrensicher und sollte in Verbindung mit anderen Sicherheitsma?nahmen wie Multi-Faktor-Authentifizierung und Sicherheitsprotokollen verwendet werden.

• Was sind die Herausforderungen bei der Implementierung einer kennwortfreien Authentifizierung? Implementierung einer kennwortfreien Authentifizierung kann sich einigen Herausforderungen stellen, einschlie?lich Benutzerakzeptanz, technischen Herausforderungen und potenziellen Sicherheitsrisiken.

• Kann eine kennwortfreie Authentifizierung für alle Anwendungsarten verwendet werden? passwortlose Authentifizierung kann in einer Vielzahl von Anwendungen verwendet werden, aber nicht alle Anwendungen sind anwendbar. Die Anwendbarkeit h?ngt von den Sicherheitsanforderungen der Anwendung, der Benutzerbasis und der für die Implementierung und Verwaltung verfügbaren Ressourcen ab. Es ist am besten für Anwendungen geeignet, bei denen die Nutzerkomfort Priorit?t hat und ein hohes Risiko für Datenverletzungen hat.

• Wie verbessert die kennwortfreie Authentifizierung die Benutzererfahrung? Kennwortfreie Authentifizierung verbessert die Benutzererfahrung, indem Benutzer die Notwendigkeit beseitigen, komplexe Passw?rter zu erinnern und einzugeben. Es vereinfacht auch den Anmeldungsprozess und macht es schneller und bequemer. Benutzer müssen den Kennwortreset-Prozess nicht mehr durchlaufen, was frustrierend und zeitaufw?ndig sein kann.

• Was ist der Unterschied zwischen kennwortfreier Authentifizierung und Multi-Faktor-Authentifizierung? kennwortfreie Authentifizierung ist eine Methode zur überprüfung der Benutzeridentit?t, ohne ein Kennwort zu verwenden. Die Multifaktorauthentifizierung hingegen ist eine Methode zur Verwendung von zwei oder mehr unabh?ngigen Faktoren zur überprüfung der Benutzeridentit?t. Kennwortfreie Authentifizierung kann als Teil der Multi-Faktor-Authentifizierung verwendet werden, von denen eine keine Passw?rter umfasst.

• Was sind einige Beispiele für passwortfreie Authentifizierungsmethoden? Einige Beispiele für passwortfreie Authentifizierungsmethoden sind die biometrische Authentifizierung (wie Fingerabdruckscannen oder Gesichtserkennung), Hardware-Token, Software-Token und mobile Push-Benachrichtigungen. Diese Methoden k?nnen allein oder in Kombination verwendet werden, um die Sicherheit zu verbessern.

• Die Kosten für die Implementierung einer kennwortfreien Authentifizierung k?nnen von einem Faktor zu einem anderen variieren, einschlie?lich der Benutzergr??e der Benutzer, der Komplexit?t vorhandener Systeme und des gew?hlten kennwortfreien Ansatzes. W?hrend es m?glicherweise im Voraus Investitionen erfordern, kann es auf lange Sicht Kosten sparen, indem die Ressourcen reduziert werden, die für das Kennwortmanagement und die Wiederherstellung verwendet werden.

• Wie kann ich zur kennwortfreien Authentifizierung übergehen? Der übergang zur kennwortfreien Authentifizierung umfasst mehrere Schritte. Zun?chst müssen Sie Ihre Sicherheitsanforderungen bewerten und den richtigen Ansatz ausw?hlen. Anschlie?end müssen Sie Ihr System und Ihr Prozess aktualisieren, um die ausgew?hlte Methode zu unterstützen. Schlie?lich müssen Sie Ihre Benutzer über neue Methoden informieren und sie durch den übergangsprozess führen. Es wird empfohlen, mit einem vertrauenswürdigen Sicherheitsanbieter zusammenzuarbeiten, um einen reibungslosen übergang zu gew?hrleisten.

Das obige ist der detaillierte Inhalt vonWarum eine passwortlose Authentifizierung funktioniert. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!