告別密碼時代！無密碼身份驗證的安全性與便捷性

核心要點：

• 無密碼身份驗證是一種用戶管理方法，它通過所有權或固有因素（例如生物特征）驗證用戶的身份，而不是使用基于知識的因素（例如密碼）。常見的無密碼方法包括一次性驗證碼、魔法鏈接、生物識別登錄、智能卡和數(shù)字證書。
• 無密碼身份驗證在安全性及用戶體驗方面優(yōu)勢顯著，它降低了網(wǎng)絡釣魚和密碼盜竊的風險，減少了憑據(jù)重復使用的情況，免去了用戶記憶多個密碼的困擾，并加快了登錄速度。預計到2027年，無密碼認證將超越密碼的使用。
• 盡管無密碼身份驗證有很多優(yōu)勢，但它也存在一些局限性，例如用戶體驗不熟悉、設備被盜或SIM卡被盜用的風險，以及生物識別安全并非完美無缺。建議盡可能使用多因素身份驗證 (MFA) 以增強安全性。
• 在網(wǎng)站或應用程序上實施無密碼身份驗證可以通過用戶管理解決方案或身份驗證服務提供商來實現(xiàn)。本文提供了一個分步指南，介紹如何使用名為Frontegg的提供商集成無密碼方法。

無密碼身份驗證是一種用戶無需密碼或密鑰即可登錄系統(tǒng)或應用程序的用戶管理方法。它通過所有權因素（例如電子郵件帳戶）或固有因素（例如面部識別）來驗證用戶的身份，而不是使用基于知識的因素（例如密碼）。

此文章是與Frontegg合作創(chuàng)建的。感謝您支持使SitePoint成為可能的合作伙伴。

許多身份驗證方法被用作密碼的替代方案：

• 一次性驗證碼 (OTC)
• 魔法鏈接
• 生物識別登錄（指紋、Face ID、語音識別）
• 智能卡或物理令牌
• 數(shù)字證書

無密碼身份驗證的普及

您可能已經(jīng)在不知不覺中使用了“無密碼身份驗證”。許多銀行應用程序使用指紋和語音識別來驗證用戶。 Slack 則以使用魔法鏈接來驗證用戶而聞名。

過去幾年，無密碼身份驗證的使用穩(wěn)步增長。身份驗證提供商 Auth0 預測，無密碼身份驗證將在 2027 年超越密碼的使用。 Gartner 預測，到 2022 年，“60% 的大型和全球性企業(yè)以及 90% 的中型企業(yè)將在超過 50% 的用例中實施無密碼方法——高于 2018 年的 5%”。

網(wǎng)絡巨頭也在盡最大努力加速這項技術的采用。在 2022 年的世界密碼日，谷歌、微軟和蘋果宣布了他們擴大對創(chuàng)建的通用無密碼登錄標準的支持的計劃。

2022 年 6 月，蘋果宣布了他們的新“密碼密鑰”功能，用于登錄網(wǎng)站和應用程序。此公告實際上意味著蘋果將使用 Touch ID 或 Face ID 為該網(wǎng)站創(chuàng)建數(shù)字密鑰。這樣就無需創(chuàng)建和寫下密碼。

無密碼身份驗證的優(yōu)勢

無密碼身份驗證提供安全性和用戶體驗優(yōu)勢：

1. 降低網(wǎng)絡釣魚和密碼盜竊風險：用戶不會受到網(wǎng)絡釣魚攻擊的影響，在網(wǎng)絡釣魚攻擊中，用戶會被帶到假冒網(wǎng)站并輸入其登錄憑據(jù)。如果用戶不輸入密碼，他們就不會受到暴力破解攻擊、密碼數(shù)據(jù)泄露和其他類型的憑據(jù)盜竊的影響。
2. 減少憑據(jù)重復使用：在多個服務和帳戶中重復使用密碼會對用戶和您的系統(tǒng)造成更大的風險，這是無法避免的。據(jù)報道，64% 的人將一個漏洞中暴露的相同密碼用于其他帳戶。
3. 無需記憶密碼：您的用戶無需記住眾多帳戶的用戶名和密碼。有時，在多次登錄失敗后，他們不得不一次又一次地重置密碼。
4. 更快的登錄速度：我們都很忙。建議強密碼至少為 16 個字符長，與掃描指紋或打開魔法鏈接相比，輸入強密碼需要很長時間。

無密碼身份驗證的局限性

無密碼身份驗證并非完美無缺，從安全性和體驗的角度來看，它也有一些局限性。

• 不熟悉的用戶體驗：許多人習慣于輸入或自動填充密碼。轉(zhuǎn)換為魔法鏈接或一次性驗證碼可能會讓用戶感到震驚。
• 設備被盜或SIM卡被盜用的風險：通過短信發(fā)送一次性驗證碼可能會讓您的用戶在手機被盜或成為 SIM 卡被盜騙局受害者時變得脆弱。
• 生物識別安全并非完美無缺：多年來，指紋掃描儀、Touch ID 和 Face ID 都被成功破解。

依賴任何單一因素進行身份驗證（無論是否有密碼）都會帶來一定程度的風險。我們建議盡可能使用多因素身份驗證 (MFA)。

無密碼身份驗證安全嗎？

是的，無密碼身份驗證被認為是安全的，但它并非完全沒有風險。沒有密碼的帳戶不必擔心密碼落入惡意人員手中。這可能是通過數(shù)據(jù)泄露、暴力破解攻擊、設備丟失或錯放的便利貼發(fā)生的。

與無密碼身份驗證相關的許多風險也同樣適用于其他方法。

如果黑客可以訪問您的電子郵件帳戶，并且您正在使用魔法鏈接進行無密碼身份驗證，他們將能夠輕松登錄。但是，如果您使用常規(guī)密碼，則此風險也是相同的。惡意行為者只需要點擊“重置密碼”并將重置鏈接發(fā)送到同一電子郵件地址即可。

最后，與任何其他系統(tǒng)一樣，無密碼身份驗證系統(tǒng)也容易受到直接攻擊，以破壞或規(guī)避安全措施。無論您采取多么安全的措施，存儲和驗證您的憑據(jù)的系統(tǒng)永遠不會完全安全。

指紋驗證和其他生物識別因素更難欺騙，但并非不可能，并且提供了一種非常安全的方式來授權自己。

無密碼身份驗證與多因素身份驗證 (MFA)

多因素身份驗證是一種在登錄時使用多種身份驗證因素的方法。這種情況的一個非常常見的例子是，當使用用戶名和密碼登錄帳戶時，然后會收到一個 6 位數(shù)的一次性驗證碼 (OTC) 來確認您的設備所有權。

在此示例中，OTC 因素是無密碼的。相反，如果您要使用指紋和一次性驗證碼，那么您將擁有一個完全無密碼的 MFA 設置。

如何在您的網(wǎng)站上實施無密碼身份驗證

將無密碼身份驗證集成到您的應用程序或網(wǎng)站中比以往任何時候都更容易。根據(jù)您現(xiàn)有的基礎設施，您現(xiàn)在有很多選擇：

• 用戶管理解決方案：這些提供商提供完全托管的服務，不僅提供傳統(tǒng)和無密碼身份驗證，還提供用戶管理和權限管理。

  • 何時使用：新的系統(tǒng)構(gòu)建、初創(chuàng)公司和希望避免所有低價值和高風險開發(fā)工作的團隊。
  • 何時不使用：如果您有一套非常定制的身份驗證或用戶管理要求，這些要求可能不適合他們的系統(tǒng)。
  • 提供商：Frontegg、Okta/Auth0、FusionAuth、Trusona、AppWrite

• 身份驗證服務提供商：這些服務提供用戶身份驗證、訪問管理以及其他服務，例如會話管理。

  • 何時使用：您擁有現(xiàn)有的用戶管理服務，并希望有人來處理密碼和身份驗證。
  • 何時不使用：您擁有有限的開發(fā)經(jīng)驗或資源。如果您有一個簡單的身份和訪問管理模型，您可能需要考慮上面提到的完全托管的解決方案。
  • 提供商：AWS Cognito、Google Identity Platform、Microsoft Azure AD

使用 React 進行無密碼身份驗證 – 速成教程

為了演示向您的用戶引入無密碼方法有多么容易，我們將帶您完成一個使用名為 Frontegg 的提供商的 5 分鐘教程。一個自助式端到端用戶管理平臺，除了其他用戶管理功能外，還提供幾種無密碼登錄方法。

構(gòu)建登錄和身份驗證服務非常耗時，并且不會為用戶流程增加價值，但如果您做錯了，則可能會造成損害。隨著提供身份驗證的服務變得更好和更便宜，沒有多少理由為您的應用程序構(gòu)建自己的密碼驗證系統(tǒng)。

1. 創(chuàng)建您的免費 Frontegg 帳戶

通過他們的網(wǎng)站創(chuàng)建您的 Frontegg 帳戶。在入門過程中，請務必選擇魔法代碼或魔法鏈接作為您的無密碼選項！

2. 開始集成過程

完成登錄框的創(chuàng)建并選擇無密碼方法后，您將看到一個“發(fā)布到開發(fā)”選項。

Frontegg 使用環(huán)境（開發(fā)、質(zhì)量保證、暫存、生產(chǎn)），這些環(huán)境具有唯一的子域、密鑰和 URL，用于您的身份驗證環(huán)境。

您現(xiàn)在將被帶到一個包含一些示例代碼的頁面，更重要的是，您的 baseURL 和 clientID。請保持此頁面打開，然后轉(zhuǎn)到您的 IDE 進行下一步。

3. 創(chuàng)建 React 應用程序（如果您已經(jīng)有自己的應用程序，請?zhí)^此步驟）

在您的終端中鍵入以下命令以創(chuàng)建一個新的 React 應用程序并導航到新目錄。

<code>npx create-react-app app-with-frontegg
cd app-with-frontegg</code>

4. 安裝并導入 Frontegg

運行以下命令以安裝 Frontegg React 庫和 react-router。如果您的應用程序中已安裝 react-router，則可以跳過安裝。

<code>npm install @frontegg/react react-router-dom</code>

5. 配置登錄設置

在 src/index.js 文件中，添加以下代碼。然后返回您的 Frontegg 頁面，并從代碼示例中找到 baseUrl 和 clientID。

注意：完成此入門流程后，這些值始終可以在您的工作區(qū)的管理部分找到。

import React from 'react';
import ReactDOM from 'react-dom'; // For react 17
// For react 18: import ReactDOM from 'react-dom/client';
import App from './App';
import './index.css';

import { FronteggProvider } from '@frontegg/react';

const contextOptions = {
  baseUrl: '## YOUR BASE URL ##',
  clientId: '## YOUR CLIENT ID ##'
};

// For react 18: 
// const root = ReactDOM.createRoot(document.getElementById('root'));
// root.render(
ReactDOM.render(
    <FronteggProvider contextOptions={contextOptions} hostedLoginBox={true}>
        <App />
    </FronteggProvider>,
    document.getElementById('root')
);

6. 重定向到登錄頁面

使用 Frontegg useAuth hook，您可以確定用戶是否已通過身份驗證。如果用戶未通過身份驗證，您可以使用 useLoginWithRedirect hook 將用戶重定向到登錄頁面（如下面的示例所示）。

<code class="javascript">import './App.css';
// import { useEffect } from 'react';
import { ContextHolder } from '@frontegg/rest-api';
import {
  useAuth, useLoginWithRedirect
} from "@frontegg/react";

function App() {
  const { user, isAuthenticated } = useAuth();
  const loginWithRedirect = useLoginWithRedirect();
  // Uncomment this to redirect to login automatically
  // useEffect(() => {
  //   if (!isAuthenticated) {
  //     loginWithRedirect();
  //   }
  // }, [isAuthenticated, loginWithRedirect]);
  const logout = () => {
    const baseUrl = ContextHolder.getContext().baseUrl;
    window.location.href = `${baseUrl}/oauth/logout`  
                            `?post_logout_redirect_uri=`  
                            `${window.location}`;
  };
  return (
    <div classname="App">
      {isAuthenticated ? (
        <div>
          <div>
            <img src="/static/imghw/default1.png" data-src="https://img.php.cn/upload/article/000/000/000/173916230294882.jpg" class="lazy" alt="What is Passwordless Authentication and How to Implement it ">
<p>單擊“注冊”，轉(zhuǎn)到您的電子郵件并單擊“激活我的帳戶”。</p>
<p><img src="/static/imghw/default1.png" data-src="https://img.php.cn/upload/article/000/000/000/173916230376786.jpg" class="lazy" alt="What is Passwordless Authentication and How to Implement it "></p>
<p>當您要登錄時，您只需輸入您的電子郵件，等待六位數(shù)驗證碼到達即可登錄。無需密碼，無需擔心。</p>
<p><strong>結(jié)論</strong></p>
<p>我希望本無密碼身份驗證指南不僅幫助您了解這項技術有多么易于使用，而且還了解它在未來幾年將變得多么重要。</p>
<p><strong>無密碼身份驗證常見問題解答 (FAQ)</strong></p>
<h3>無密碼身份驗證的主要好處是什么？</h3>
<p>無密碼身份驗證提供了多種好處。首先，它增強了用戶體驗，因為用戶不再需要記住復雜的密碼。其次，它通過消除與密碼相關的漏洞（例如暴力破解攻擊、字典攻擊和網(wǎng)絡釣魚）來提高安全性。最后，它降低了運營成本，因為企業(yè)不再需要投資于密碼恢復和重置程序。</p>
<h3>無密碼身份驗證是如何工作的？</h3>
<p>無密碼身份驗證通過使用密碼以外的因素來驗證用戶的身份。這些因素可以是用戶知道的東西（例如 PIN 碼）、用戶擁有的東西（例如移動設備）或用戶自身的東西（例如指紋）。系統(tǒng)會將一次性代碼或鏈接發(fā)送到用戶的設備，然后用戶輸入或點擊該代碼或鏈接以獲得訪問權限。</p>
<h3>無密碼身份驗證安全嗎？</h3>
<p>是的，無密碼身份驗證通常比傳統(tǒng)的基于密碼的身份驗證更安全。它消除了與密碼相關的攻擊和漏洞的風險。但是，與任何其他安全措施一樣，它并非完全萬無一失，應與其他安全措施結(jié)合使用以獲得最佳保護。</p>
<h3>無密碼身份驗證可以用于所有類型的應用程序嗎？</h3>
<p>無密碼身份驗證可以用于各種應用程序，包括 Web 應用程序、移動應用程序，甚至物聯(lián)網(wǎng)設備。但是，無密碼身份驗證的適用性取決于應用程序的具體要求和安全需求。</p>
<h3>實施無密碼身份驗證的挑戰(zhàn)是什么？</h3>
<p>實施無密碼身份驗證可能會帶來一些挑戰(zhàn)。這些包括用戶接受度，因為一些用戶可能抗拒變化；技術挑戰(zhàn)，因為它需要對現(xiàn)有身份驗證基礎設施進行重大更改；以及監(jiān)管挑戰(zhàn)，因為某些法規(guī)可能要求使用密碼。</p>
<h3>我如何在應用程序中實施無密碼身份驗證？</h3>
<p>實施無密碼身份驗證涉及幾個步驟。首先，您需要選擇正確的身份驗證因素（例如生物識別或移動設備）。其次，您需要將此因素集成到您的身份驗證過程中。最后，您需要教育您的用戶了解新的身份驗證方法及其好處。</p>
<h3>無密碼身份驗證的一些示例是什么？</h3>
<p>無密碼身份驗證的示例包括生物識別身份驗證（例如指紋掃描或面部識別）、移動設備身份驗證（例如短信代碼或推送通知）和硬件令牌（例如安全密鑰）。</p>
<h3>無密碼身份驗證是未來在線安全的未來嗎？</h3>
<p>許多專家認為無密碼身份驗證是未來在線安全的未來。隨著與密碼相關的局限性和風險越來越明顯，越來越多的企業(yè)正在轉(zhuǎn)向無密碼身份驗證以增強安全性并改善用戶體驗。</p>
<h3>無密碼身份驗證可以與其他安全措施結(jié)合使用嗎？</h3>
<p>是的，無密碼身份驗證可以并且應該與其他安全措施結(jié)合使用以獲得最佳保護。這些可能包括加密、安全編碼實踐和定期安全審計。</p>
<h3>用戶在無密碼身份驗證中的作用是什么？</h3>
<p>用戶在無密碼身份驗證中起著至關重要的作用。他們需要保護其身份驗證因素（例如其移動設備或生物識別數(shù)據(jù)）并了解潛在的安全威脅。他們還需要樂于采用新的身份驗證方法來保護自身安全。</p>
</div>
</div>
</div></code>

以上是什么是無密碼的身份驗證以及如何實施它的詳細內(nèi)容。更多信息請關注PHP中文網(wǎng)其他相關文章！