告別密碼時(shí)代！無(wú)密碼身份驗(yàn)證的安全性與便捷性

核心要點(diǎn)：

• 無(wú)密碼身份驗(yàn)證是一種用戶管理方法，它通過(guò)所有權(quán)或固有因素（例如生物特徵）驗(yàn)證用戶的身份，而不是使用基於知識(shí)的因素（例如密碼）。常見(jiàn)的無(wú)密碼方法包括一次性驗(yàn)證碼、魔法鏈接、生物識(shí)別登錄、智能卡和數(shù)字證書(shū)。
• 無(wú)密碼身份驗(yàn)證在安全性及用戶體驗(yàn)方面優(yōu)勢(shì)顯著，它降低了網(wǎng)絡(luò)釣魚(yú)和密碼盜竊的風(fēng)險(xiǎn)，減少了憑據(jù)重複使用的情況，免去了用戶記憶多個(gè)密碼的困擾，並加快了登錄速度。預(yù)計(jì)到2027年，無(wú)密碼認(rèn)證將超越密碼的使用。
• 儘管無(wú)密碼身份驗(yàn)證有很多優(yōu)勢(shì)，但它也存在一些局限性，例如用戶體驗(yàn)不熟悉、設(shè)備被盜或SIM卡被盜用的風(fēng)險(xiǎn)，以及生物識(shí)別安全並非完美無(wú)缺。建議盡可能使用多因素身份驗(yàn)證 (MFA) 以增強(qiáng)安全性。
• 在網(wǎng)站或應(yīng)用程序上實(shí)施無(wú)密碼身份驗(yàn)證可以通過(guò)用戶管理解決方案或身份驗(yàn)證服務(wù)提供商來(lái)實(shí)現(xiàn)。本文提供了一個(gè)分步指南，介紹如何使用名為Frontegg的提供商集成無(wú)密碼方法。

無(wú)密碼身份驗(yàn)證是一種用戶無(wú)需密碼或密鑰即可登錄系統(tǒng)或應(yīng)用程序的用戶管理方法。它通過(guò)所有權(quán)因素（例如電子郵件帳戶）或固有因素（例如面部識(shí)別）來(lái)驗(yàn)證用戶的身份，而不是使用基於知識(shí)的因素（例如密碼）。

此文章是與Frontegg合作創(chuàng)建的。感謝您支持使SitePoint成為可能的合作夥伴。

許多身份驗(yàn)證方法被用作密碼的替代方案：

• 一次性驗(yàn)證碼 (OTC)
• 魔法鏈接
• 生物識(shí)別登錄（指紋、Face ID、語(yǔ)音識(shí)別）
• 智能卡或物理令牌
• 數(shù)字證書(shū)

無(wú)密碼身份驗(yàn)證的普及

您可能已經(jīng)在不知不覺(jué)中使用了“無(wú)密碼身份驗(yàn)證”。許多銀行應(yīng)用程序使用指紋和語(yǔ)音識(shí)別來(lái)驗(yàn)證用戶。 Slack 則以使用魔法鏈接來(lái)驗(yàn)證用戶而聞名。

過(guò)去幾年，無(wú)密碼身份驗(yàn)證的使用穩(wěn)步增長(zhǎng)。身份驗(yàn)證提供商 Auth0 預(yù)測(cè)，無(wú)密碼身份驗(yàn)證將在 2027 年超越密碼的使用。 Gartner 預(yù)測(cè)，到 2022 年，“60% 的大型和全球性企業(yè)以及 90% 的中型企業(yè)將在超過(guò) 50% 的用例中實(shí)施無(wú)密碼方法——高於 2018 年的 5%”。

網(wǎng)絡(luò)巨頭也在盡最大努力加速這項(xiàng)技術(shù)的採(cǎi)用。在 2022 年的世界密碼日，谷歌、微軟和蘋(píng)果宣布了他們擴(kuò)大對(duì)創(chuàng)建的通用無(wú)密碼登錄標(biāo)準(zhǔn)的支持的計(jì)劃。

2022 年 6 月，蘋(píng)果宣布了他們的新“密碼密鑰”功能，用於登錄網(wǎng)站和應(yīng)用程序。此公告實(shí)際上意味著蘋(píng)果將使用 Touch ID 或 Face ID 為該網(wǎng)站創(chuàng)建數(shù)字密鑰。這樣就無(wú)需創(chuàng)建和寫(xiě)下密碼。

無(wú)密碼身份驗(yàn)證的優(yōu)勢(shì)

無(wú)密碼身份驗(yàn)證提供安全性和用戶體驗(yàn)優(yōu)勢(shì)：

1. 降低網(wǎng)絡(luò)釣魚(yú)和密碼盜竊風(fēng)險(xiǎn)：用戶不會(huì)受到網(wǎng)絡(luò)釣魚(yú)攻擊的影響，在網(wǎng)絡(luò)釣魚(yú)攻擊中，用戶會(huì)被帶到假冒網(wǎng)站並輸入其登錄憑據(jù)。如果用戶不輸入密碼，他們就不會(huì)受到暴力破解攻擊、密碼數(shù)據(jù)洩露和其他類型的憑據(jù)盜竊的影響。
2. 減少憑據(jù)重複使用：在多個(gè)服務(wù)和帳戶中重複使用密碼會(huì)對(duì)用戶和您的系統(tǒng)造成更大的風(fēng)險(xiǎn)，這是無(wú)法避免的。據(jù)報(bào)導(dǎo)，64% 的人將一個(gè)漏洞中暴露的相同密碼用於其他帳戶。
3. 無(wú)需記憶密碼：您的用戶無(wú)需記住眾多帳戶的用戶名和密碼。有時(shí)，在多次登錄失敗後，他們不得不一次又一次地重置密碼。
4. 更快的登錄速度：我們都很忙。建議強(qiáng)密碼至少為 16 個(gè)字符長(zhǎng)，與掃描指紋或打開(kāi)魔法鏈接相比，輸入強(qiáng)密碼需要很長(zhǎng)時(shí)間。

無(wú)密碼身份驗(yàn)證的局限性

無(wú)密碼身份驗(yàn)證並非完美無(wú)缺，從安全性和體驗(yàn)的角度來(lái)看，它也有一些局限性。

• 不熟悉的用戶體驗(yàn)：許多人習(xí)慣於輸入或自動(dòng)填充密碼。轉(zhuǎn)換為魔法鏈接或一次性驗(yàn)證碼可能會(huì)讓用戶感到震驚。
• 設(shè)備被盜或SIM卡被盜用的風(fēng)險(xiǎn)：通過(guò)短信發(fā)送一次性驗(yàn)證碼可能會(huì)讓您的用戶在手機(jī)被盜或成為SIM 卡被盜騙局受害者時(shí)變得脆弱。
• 生物識(shí)別安全並非完美無(wú)缺：多年來(lái)，指紋掃描儀、Touch ID 和 Face ID 都被成功破解。

依賴任何單一因素進(jìn)行身份驗(yàn)證（無(wú)論是否有密碼）都會(huì)帶來(lái)一定程度的風(fēng)險(xiǎn)。我們建議盡可能使用多因素身份驗(yàn)證 (MFA)。

無(wú)密碼身份驗(yàn)證安全嗎？

是的，無(wú)密碼身份驗(yàn)證被認(rèn)為是安全的，但它並非完全沒(méi)有風(fēng)險(xiǎn)。沒(méi)有密碼的帳戶不必?fù)?dān)心密碼落入惡意人員手中。這可能是通過(guò)數(shù)據(jù)洩露、暴力破解攻擊、設(shè)備丟失或錯(cuò)放的便利貼發(fā)生的。

與無(wú)密碼身份驗(yàn)證相關(guān)的許多風(fēng)險(xiǎn)也同樣適用於其他方法。

如果黑客可以訪問(wèn)您的電子郵件帳戶，並且您正在使用魔法鏈接進(jìn)行無(wú)密碼身份驗(yàn)證，他們將能夠輕鬆登錄。但是，如果您使用常規(guī)密碼，則此風(fēng)險(xiǎn)也是相同的。惡意行為者只需要點(diǎn)擊“重置密碼”並將重置鏈接發(fā)送到同一電子郵件地址即可。

最後，與任何其他系統(tǒng)一樣，無(wú)密碼身份驗(yàn)證系統(tǒng)也容易受到直接攻擊，以破壞或規(guī)避安全措施。無(wú)論您採(cǎi)取多麼安全的措施，存儲(chǔ)和驗(yàn)證您的憑據(jù)的系統(tǒng)永遠(yuǎn)不會(huì)完全安全。

指紋驗(yàn)證和其他生物識(shí)別因素更難欺騙，但並非不可能，並且提供了一種非常安全的方式來(lái)授權(quán)自己。

無(wú)密碼身份驗(yàn)證與多因素身份驗(yàn)證 (MFA)

多因素身份驗(yàn)證是一種在登錄時(shí)使用多種身份驗(yàn)證因素的方法。這種情況的一個(gè)非常常見(jiàn)的例子是，當(dāng)使用用戶名和密碼登錄帳戶時(shí)，然後會(huì)收到一個(gè) 6 位數(shù)的一次性驗(yàn)證碼 (OTC) 來(lái)確認(rèn)您的設(shè)備所有權(quán)。

在此示例中，OTC 因素是無(wú)密碼的。相反，如果您要使用指紋和一次性驗(yàn)證碼，那麼您將擁有一個(gè)完全無(wú)密碼的 MFA 設(shè)置。

如何在您的網(wǎng)站上實(shí)施無(wú)密碼身份驗(yàn)證

將無(wú)密碼身份驗(yàn)證集成到您的應(yīng)用程序或網(wǎng)站中比以往任何時(shí)候都更容易。根據(jù)您現(xiàn)有的基礎(chǔ)設(shè)施，您現(xiàn)在有很多選擇：

• 用戶管理解決方案：這些提供商提供完全託管的服務(wù)，不僅提供傳統(tǒng)和無(wú)密碼身份驗(yàn)證，還提供用戶管理和權(quán)限管理。

  • 何時(shí)使用：新的系統(tǒng)構(gòu)建、初創(chuàng)公司和希望避免所有低價(jià)值和高風(fēng)險(xiǎn)開(kāi)發(fā)工作的團(tuán)隊(duì)。
  • 何時(shí)不使用：如果您有一套非常定制的身份驗(yàn)證或用戶管理要求，這些要求可能不適合他們的系統(tǒng)。
  • 提供商：Frontegg、Okta/Auth0、FusionAuth、Trusona、AppWrite

• 身份驗(yàn)證服務(wù)提供商：這些服務(wù)提供用戶身份驗(yàn)證、訪問(wèn)管理以及其他服務(wù)，例如會(huì)話管理。

  • 何時(shí)使用：您擁有現(xiàn)有的用戶管理服務(wù)，並希望有人來(lái)處理密碼和身份驗(yàn)證。
  • 何時(shí)不使用：您擁有有限的開(kāi)發(fā)經(jīng)驗(yàn)或資源。如果您有一個(gè)簡(jiǎn)單的身份和訪問(wèn)管理模型，您可能需要考慮上面提到的完全託管的解決方案。
  • 提供商：AWS Cognito、Google Identity Platform、Microsoft Azure AD

使用 React 進(jìn)行無(wú)密碼身份驗(yàn)證 – 速成教程

為了演示向您的用戶引入無(wú)密碼方法有多麼容易，我們將帶您完成一個(gè)使用名為 Frontegg 的提供商的 5 分鐘教程。一個(gè)自助式端到端用戶管理平臺(tái)，除了其他用戶管理功能外，還提供幾種無(wú)密碼登錄方法。

構(gòu)建登錄和身份驗(yàn)證服務(wù)非常耗時(shí)，並且不會(huì)為用戶流程增加價(jià)值，但如果您做錯(cuò)了，則可能會(huì)造成損害。隨著提供身份驗(yàn)證的服務(wù)變得更好和更便宜，沒(méi)有多少理由為您的應(yīng)用程序構(gòu)建自己的密碼驗(yàn)證系統(tǒng)。

1. 創(chuàng)建您的免費(fèi) Frontegg 帳戶

通過(guò)他們的網(wǎng)站創(chuàng)建您的 Frontegg 帳戶。在入門(mén)過(guò)程中，請(qǐng)務(wù)必選擇魔法代碼或魔法鏈接作為您的無(wú)密碼選項(xiàng)！

2. 開(kāi)始集成過(guò)程

完成登錄框的創(chuàng)建並選擇無(wú)密碼方法後，您將看到一個(gè)“發(fā)佈到開(kāi)發(fā)”選項(xiàng)。

Frontegg 使用環(huán)境（開(kāi)發(fā)、質(zhì)量保證、暫存、生產(chǎn)），這些環(huán)境具有唯一的子域、密鑰和 URL，用於您的身份驗(yàn)證環(huán)境。

您現(xiàn)在將被帶到一個(gè)包含一些示例代碼的頁(yè)面，更重要的是，您的 baseURL 和 clientID。請(qǐng)保持此頁(yè)面打開(kāi)，然後轉(zhuǎn)到您的 IDE 進(jìn)行下一步。

3. 創(chuàng)建 React 應(yīng)用程序（如果您已經(jīng)有自己的應(yīng)用程序，請(qǐng)?zhí)^(guò)此步驟）

在您的終端中鍵入以下命令以創(chuàng)建一個(gè)新的 React 應(yīng)用程序並導(dǎo)航到新目錄。

<code>npx create-react-app app-with-frontegg
cd app-with-frontegg</code>

4. 安裝並導(dǎo)入 Frontegg

運(yùn)行以下命令以安裝 Frontegg React 庫(kù)和 react-router。如果您的應(yīng)用程序中已安裝 react-router，則可以跳過(guò)安裝。

<code>npm install @frontegg/react react-router-dom</code>

5. 配置登錄設(shè)置

在 src/index.js 文件中，添加以下代碼。然後返回您的 Frontegg 頁(yè)面，並從代碼示例中找到 baseUrl 和 clientID。

注意：完成此入門(mén)流程後，這些值始終可以在您的工作區(qū)的管理部分找到。

import React from 'react';
import ReactDOM from 'react-dom'; // For react 17
// For react 18: import ReactDOM from 'react-dom/client';
import App from './App';
import './index.css';

import { FronteggProvider } from '@frontegg/react';

const contextOptions = {
  baseUrl: '## YOUR BASE URL ##',
  clientId: '## YOUR CLIENT ID ##'
};

// For react 18: 
// const root = ReactDOM.createRoot(document.getElementById('root'));
// root.render(
ReactDOM.render(
    <FronteggProvider contextOptions={contextOptions} hostedLoginBox={true}>
        <App />
    </FronteggProvider>,
    document.getElementById('root')
);

6. 重定向到登錄頁(yè)面

使用 Frontegg useAuth hook，您可以確定用戶是否已通過(guò)身份驗(yàn)證。如果用戶未通過(guò)身份驗(yàn)證，您可以使用 useLoginWithRedirect hook 將用戶重定向到登錄頁(yè)面（如下面的示例所示）。

<code class="javascript">import './App.css';
// import { useEffect } from 'react';
import { ContextHolder } from '@frontegg/rest-api';
import {
  useAuth, useLoginWithRedirect
} from "@frontegg/react";

function App() {
  const { user, isAuthenticated } = useAuth();
  const loginWithRedirect = useLoginWithRedirect();
  // Uncomment this to redirect to login automatically
  // useEffect(() => {
  //   if (!isAuthenticated) {
  //     loginWithRedirect();
  //   }
  // }, [isAuthenticated, loginWithRedirect]);
  const logout = () => {
    const baseUrl = ContextHolder.getContext().baseUrl;
    window.location.href = `${baseUrl}/oauth/logout`  
                            `?post_logout_redirect_uri=`  
                            `${window.location}`;
  };
  return (
    <div classname="App">
      {isAuthenticated ? (
        <div>
          <div>
            <img src="/static/imghw/default1.png" data-src="https://img.php.cn/upload/article/000/000/000/173916230294882.jpg" class="lazy" alt="What is Passwordless Authentication and How to Implement it ">
<p>單擊“註冊(cè)”，轉(zhuǎn)到您的電子郵件並單擊“激活我的帳戶”。 </p>
<p><img src="/static/imghw/default1.png" data-src="https://img.php.cn/upload/article/000/000/000/173916230376786.jpg" class="lazy" alt="What is Passwordless Authentication and How to Implement it "></p>
<p>當(dāng)您要登錄時(shí)，您只需輸入您的電子郵件，等待六位數(shù)驗(yàn)證碼到達(dá)即可登錄。無(wú)需密碼，無(wú)需擔(dān)心。 </p>
<p><strong>結(jié)論</strong></p>
<p>我希望本無(wú)密碼身份驗(yàn)證指南不僅幫助您了解這項(xiàng)技術(shù)有多麼易於使用，而且還了解它在未來(lái)幾年將變得多麼重要。 </p>
<p><strong>無(wú)密碼身份驗(yàn)證常見(jiàn)問(wèn)題解答 (FAQ)</strong></p>
<h3>無(wú)密碼身份驗(yàn)證的主要好處是什麼？ </h3>
<p>無(wú)密碼身份驗(yàn)證提供了多種好處。首先，它增強(qiáng)了用戶體驗(yàn)，因?yàn)橛脩舨辉傩枰涀⊙}雜的密碼。其次，它通過(guò)消除與密碼相關(guān)的漏洞（例如暴力破解攻擊、字典攻擊和網(wǎng)絡(luò)釣魚(yú)）來(lái)提高安全性。最後，它降低了運(yùn)營(yíng)成本，因?yàn)槠髽I(yè)不再需要投資於密碼恢復(fù)和重置程序。 </p>
<h3>無(wú)密碼身份驗(yàn)證是如何工作的？ </h3>
<p>無(wú)密碼身份驗(yàn)證通過(guò)使用密碼以外的因素來(lái)驗(yàn)證用戶的身份。這些因素可以是用戶知道的東西（例如 PIN 碼）、用戶擁有的東西（例如移動(dòng)設(shè)備）或用戶自身的東西（例如指紋）。系統(tǒng)會(huì)將一次性代碼或鏈接發(fā)送到用戶的設(shè)備，然後用戶輸入或點(diǎn)擊該代碼或鏈接以獲得訪問(wèn)權(quán)限。 </p>
<h3>無(wú)密碼身份驗(yàn)證安全嗎？ </h3>
<p>是的，無(wú)密碼身份驗(yàn)證通常比傳統(tǒng)的基於密碼的身份驗(yàn)證更安全。它消除了與密碼相關(guān)的攻擊和漏洞的風(fēng)險(xiǎn)。但是，與任何其他安全措施一樣，它並非完全萬(wàn)無(wú)一失，應(yīng)與其他安全措施結(jié)合使用以獲得最佳保護(hù)。 </p>
<h3>無(wú)密碼身份驗(yàn)證可以用於所有類型的應(yīng)用程序嗎？ </h3>
<p>無(wú)密碼身份驗(yàn)證可以用於各種應(yīng)用程序，包括 Web 應(yīng)用程序、移動(dòng)應(yīng)用程序，甚至物聯(lián)網(wǎng)設(shè)備。但是，無(wú)密碼身份驗(yàn)證的適用性取決於應(yīng)用程序的具體要求和安全需求。 </p>
<h3>實(shí)施無(wú)密碼身份驗(yàn)證的挑戰(zhàn)是什麼？ </h3>
<p>實(shí)施無(wú)密碼身份驗(yàn)證可能會(huì)帶來(lái)一些挑戰(zhàn)。這些包括用戶接受度，因?yàn)橐恍┯脩艨赡芸咕茏兓?；技術(shù)挑戰(zhàn)，因?yàn)樗枰獙?duì)現(xiàn)有身份驗(yàn)證基礎(chǔ)設(shè)施進(jìn)行重大更改；以及監(jiān)管挑戰(zhàn)，因?yàn)槟承┓ㄒ?guī)可能要求使用密碼。 </p>
<h3>我如何在應(yīng)用程序中實(shí)施無(wú)密碼身份驗(yàn)證？ </h3>
<p>實(shí)施無(wú)密碼身份驗(yàn)證涉及幾個(gè)步驟。首先，您需要選擇正確的身份驗(yàn)證因素（例如生物識(shí)別或移動(dòng)設(shè)備）。其次，您需要將此因素集成到您的身份驗(yàn)證過(guò)程中。最後，您需要教育您的用戶了解新的身份驗(yàn)證方法及其好處。 </p>
<h3>無(wú)密碼身份驗(yàn)證的一些示例是什麼？ </h3>
<p>無(wú)密碼身份驗(yàn)證的示例包括生物識(shí)別身份驗(yàn)證（例如指紋掃描或面部識(shí)別）、移動(dòng)設(shè)備身份驗(yàn)證（例如短信代碼或推送通知）和硬件令牌（例如安全密鑰）。 </p>
<h3>無(wú)密碼身份驗(yàn)證是未來(lái)在線安全的未來(lái)嗎？ </h3>
<p>許多專家認(rèn)為無(wú)密碼身份驗(yàn)證是未來(lái)在線安全的未來(lái)。隨著與密碼相關(guān)的局限性和風(fēng)險(xiǎn)越來(lái)越明顯，越來(lái)越多的企業(yè)正在轉(zhuǎn)向無(wú)密碼身份驗(yàn)證以增強(qiáng)安全性並改善用戶體驗(yàn)。 </p>
<h3>無(wú)密碼身份驗(yàn)證可以與其他安全措施結(jié)合使用嗎？ </h3>
<p>是的，無(wú)密碼身份驗(yàn)證可以並且應(yīng)該與其他安全措施結(jié)合使用以獲得最佳保護(hù)。這些可能包括加密、安全編碼實(shí)踐和定期安全審計(jì)。 </p>
<h3>用戶在無(wú)密碼身份驗(yàn)證中的作用是什麼？ </h3>
<p>用戶在無(wú)密碼身份驗(yàn)證中起著至關(guān)重要的作用。他們需要保護(hù)其身份驗(yàn)證因素（例如其移動(dòng)設(shè)備或生物識(shí)別數(shù)據(jù)）並了解潛在的安全威脅。他們還需要樂(lè)於採(cǎi)用新的身份驗(yàn)證方法來(lái)保護(hù)自身安全。 </p>
</div>
</div>
</div></code>

以上是什麼是無(wú)密碼的身份驗(yàn)證以及如何實(shí)施它的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！