dites au revoir à votre mot de passe! Avantages et pratiques d'authentification sans mot de passe

L'authentification sans mot de passe utilise des outils de communication personnels sécurisés tels que les e-mails et les messages texte pour fournir une alternative plus s?re et plus conviviale aux systèmes traditionnels basés sur les mots de passe. Il économise les utilisateurs des tracas de la création et de la souvenir de mots de passe, et il n'y a pas de stockage de mots de passe qui peut être piraté ou deviné.

Avantages de l'authentification sans mot de passe:

• Sécurité: Pas besoin de stocker des mots de passe, éliminant le risque de mise en ?uvre des mots de passe ou de devin. Même si les informations sont interceptées, l'attaquant n'obtient qu'un des jetons et ne peut pas se connecter.
• Effectif: Le développement et le déploiement nécessitent moins de code, et les équipes de support n'ont pas besoin de traiter divers problèmes liés au mot de passe, réduisant ainsi les co?ts opérationnels. Particulièrement adapté aux applications où les délais d'expiration de session sont longs ou les utilisateurs n'ont besoin d'y accéder qu'occasionnellement.
• Expérience utilisateur: Les utilisateurs n'ont pas besoin de créer ou de se souvenir de leurs mots de passe, et le processus de connexion est plus facile et plus rapide.

Principe du mot de passe Authentification invisible:

Nous utilisons la même méthode d'authentification que le début d'Internet. Malheureusement, les mots de passe deviennent de plus en plus sujets à la rupture:

• La force du mot de passe est généralement insuffisante. L'enquête montre qu'un compte sur 10 utilise l'un des vingt mots de passe les plus populaires. "123456" est utilisé par plus de 4% des comptes; "mot de passe" est toujours l'un des mots de passe les plus couramment utilisés.
• Les utilisateurs utilisent le même mot de passe faible sur plusieurs sites Web. Si un pirate se dépla?ait via le compte Facebook de quelqu'un, il pourra probablement également accéder à son compte PayPal. La sécurité de votre mot de passe dépend de la sécurité du système le plus faible que vous utilisez.
• Les violations de données d'entreprise deviennent de plus en plus fréquentes et ont attiré l'attention des médias grand public. Il peut facilement rendre les gens célèbres, riposter ou chanter. Peu d'entreprises sont préparées à des actes de cyber-terrorisme, et malgré le fait que ce soit des ?attaques complexes en permanence?, de nombreuses violations de sécurité sont de simples injections de SQL causées par une mauvaise technologie de développement.
• Du point de vue du codage, l'authentification est lourde et sujette aux erreurs. La vérification des informations d'identification n'est que le début du problème: vous devez vous assurer qu'il n'y a pas de vulnérabilités de sécurité, de hachage de la cha?ne de hachage à l'aide d'un algorithme puissant (et lent), permettant à l'utilisateur de réinitialiser le mot de passe oublié et de répondre à ceux qui ne le font pas semblent se souvenir correctement ou taper de courtes cha?nes de téléphonie de support des utilisateurs déroutants.
• D'autres solutions, telles que la biométrie ou l'OAuth, comptent sur du matériel ou un compte de médias sociaux approprié. Peu de sites Web l'implémentent bien et doivent encore restaurer la méthode Email / mot de passe pour certains utilisateurs.

L'authentification sans mot de passe est préalable à ce que lorsque la plupart des utilisateurs ont un compte de communication personnelle sécurisé (tel que les e-mails et les messages texte), le mot de passe n'est pas nécessaire. Les applications peuvent utiliser ces systèmes:

1. L'utilisateur visite le site Web et entre un ID (comme une adresse e-mail) pour se connecter.
2. Le système envoie un message contenant un lien vers l'utilisateur; l'utilisateur peut se connecter en cliquant sur le lien.

En d'autres termes, l'application crée un mot de passe ponctuel aléatoire et informe discrètement l'utilisateur lorsqu'il a besoin d'accès. Ceci est similaire au processus de réinitialisation de votre mot de passe - de nombreux utilisateurs le font chaque fois qu'ils se connectent de toute fa?on! Le courrier électronique est un choix évident, mais tout autre service de messagerie peut être utilisé - tel que SMS, Slack, Skype, Message instantané et même les messages directs Twitter. Si vous ne souhaitez pas compter sur un seul système, plusieurs options sont disponibles. Dans les coulisses, il serait un peu plus compliqué de s'assurer qu'une seule personne peut utiliser le lien de connexion. Le processus général est le suivant:

1. Le serveur vérifie que le compte avec l'adresse e-mail existe.
2. Le serveur crée deux jetons (comme un Guid hexadécimal de 24 caractères) et associe ces deux jetons à cette tentative de connexion. Le premier jeton est renvoyé au dispositif de connexion, généralement en tant que cookie de navigateur. Le deuxième jeton est codé dans un lien envoyé à l'utilisateur par e-mail.
3. En cliquant sur le lien, le serveur re?oit deux jetons et les vérifie en fonction d'une seule tentative de connexion. Il existe une option pour effectuer des vérifications supplémentaires pour s'assurer que le lien est cliqué en quelques minutes et que l'adresse IP et la cha?ne d'agent utilisateur du navigateur n'ont pas changé.
4. Si toute la vérification est passée, une véritable session sera démarrée et l'utilisateur se connectera. Si une étape échoue, tous les jetons associés seront invalides; ils ne peuvent plus être utilisés.

Scénarios applicables pour l'authentification sans mot de passe:

Bien que le temps de connexion soit un peu plus long - c'est à peu près au même moment que l'utilisation d'un gestionnaire de mots de passe! L'authentification sans mot de passe peut être appliquée aux applications où les délais de session sont longs ou les utilisateurs n'ont qu'à visiter occasionnellement, tels que les sites Web d'achat, les réseaux sociaux, les forums, les systèmes de billetterie et les systèmes de gestion de contenu. Il semblerait étrange de l'utiliser pour un système de messagerie car vous avez besoin d'un autre système pour vous connecter! Vous ne voulez pas non plus que votre banque compose entièrement sur AOL pour sa sécurité, bien que le processus d'authentification auxiliaire puisse le compléter. Si vous créez une nouvelle application, envisagez d'utiliser l'authentification sans mot de passe. Cependant, le problème de la mise à jour des applications existantes (de nombreux utilisateurs ont actuellement des mots de passe). Je recommande d'exécuter une authentification sans mot de passe en parallèle au lieu de passer au nouveau processus de connexion pendant la nuit. Offrez-le en option, en particulier pour les utilisateurs qui réinitialisent leurs mots de passe et évaluent l'adoption après quelques mois pour déterminer s'il est possible.

Test de cas pratique:

J'implémente l'authentification sans mot de passe dans une nouvelle application, qui est utilisée par les clients pour des centaines de clients internes et externes. Environ la moitié de la base d'utilisateurs a de bonnes compétences informatiques et accès chaque jour, donc leurs sessions expirent rarement. L'autre moitié est principalement des gestionnaires, qui se connectent une ou deux fois par mois - beaucoup de gens oublient ou entrent le mauvais mot de passe. Le plus gros problème: le client doit être convaincu. "Pas de mot de passe" ne semble pas s?r et peu de gens l'ont vu ailleurs. J'ai de la chance: le client a un chef de projet hautement qualifié qui comprend ce concept. Malgré cela, s'il y a un échec, j'accepte d'ajouter un mot de passe. Depuis lors, tout se passe bien. J'ai d? intégrer mes propres implémentations pour des raisons techniques, plut?t que de compter sur des bibliothèques tierces. Il faut moins d'une journée et ne nécessite pas la gestion habituelle des mots de passe, le hachage et la réinitialisation des bêtises que nous développons et testons habituellement. Le plus grand avantage: les utilisateurs comprennent l'authentification sans mot de passe. Le processus est simple, mais il est préférable de fournir des instructions simples à toutes les étapes. Par exemple:

• Vous avez re?u un e-mail de lien de connexion. Si ce n'est pas re?u, veuillez vérifier votre dossier de spam.
• Veuillez cliquer sur ce lien pour vous connecter ... vous avez 10 minutes pour ouvrir ce lien dans le même navigateur.

Personne n'était confus. Personne n'a lutté. Personne n'a salué le système, mais personne ne s'est plaint; Le nombre de problèmes de connexion liés au mot de passe a diminué à zéro du mercredi à quatre par semaine.

Conclusion:

Je ne peux pas dire que l'authentification sans mot de passe fonctionne n'importe où, mais l'expérience est extrêmement positive. J'ai changé d'avis. à partir de maintenant, toutes mes applications seront sans mot de passe. Certains clients peuvent ne pas être satisfaits - mais j'ajouterai une bo?te de mot de passe virtuelle à leur formulaire de connexion et je l'ignorerai! Avez-vous implémenté l'authentification sans mot de passe? Est-ce une bonne ou une mauvaise expérience?

(Ce qui suit est la partie FAQ, qui est fondamentalement la même que la teneur en FAQ d'origine, sauf que les phrases sont légèrement ajustées pour maintenir la ma?trise et la pseudo-originalité)

Des questions fréquemment posées sur l'authentification invisible du mot de passe (FAQ):

• Quels sont les principaux avantages de l'authentification sans mot de passe? L'authentification sans mot de passe améliore la sécurité, améliore l'expérience utilisateur et réduit les co?ts d'exploitation. Il élimine les risques de vulnérabilités de sécurité liés au mot de passe, simplifie le processus de connexion et réduit le temps et les ressources requis pour la gestion et la récupération des mots de passe.

• Comment fonctionne l'authentification sans mot de passe? L'authentification sans mot de passe vérifie l'identité de l'utilisateur en utilisant des facteurs autres que les mots de passe, tels que ce que l'utilisateur possède (smartphone ou jeton matériel), l'identité de l'utilisateur (données biologiques telles que les empreintes digitales ou la reconnaissance faciale), ou le comportement de l'utilisateur ( Biométrie comportementale). Le système enverra un code ou un lien unique vers l'appareil de l'utilisateur ou utilisera des données biométriques pour vérifier l'identité de l'utilisateur.

• est-il s?r d'authentification sans mot de passe? L'authentification sans mot de passe est généralement plus sécurisée que l'authentification traditionnelle basée sur les mots de passe car elle élimine le risque d'attaques et de vulnérabilités liées au mot de passe. Cependant, comme toute autre mesure de sécurité, elle n'est pas complètement infaillible et doit être utilisée en conjonction avec d'autres mesures de sécurité telles que les protocoles d'authentification multi-facteurs et de sécurité.

• Quels sont les défis de la mise en ?uvre de l'authentification sans mot de passe? La mise en ?uvre de l'authentification sans mot de passe peut faire face à certains défis, notamment l'acceptation des utilisateurs, les défis techniques et les risques de sécurité potentiels.

• Une authentification sans mot de passe peut-elle être utilisée pour tous les types d'applications? L'authentification sans mot de passe peut être utilisée dans une variété d'applications, mais toutes les applications ne sont pas applicables. Son applicabilité dépend des exigences de sécurité de l'application, de la base d'utilisateurs et des ressources disponibles pour la mise en ?uvre et la gestion. Il est mieux adapté aux applications où la commodité des utilisateurs est une priorité et présente un risque élevé de violations de données.

• Comment l'authentification sans mot de passe améliore-t-elle l'expérience utilisateur? L'authentification sans mot de passe améliore l'expérience utilisateur en éliminant la nécessité pour les utilisateurs de se souvenir et de saisir des mots de passe complexes. Il simplifie également le processus de connexion, le rendant plus rapide et plus pratique. Les utilisateurs n'ont plus besoin de passer par le processus de réinitialisation du mot de passe, ce qui peut être frustrant et long.

• Quelle est la différence entre l'authentification sans mot de passe et l'authentification multi-facteurs? L'authentification sans mot de passe est une méthode pour vérifier l'identité de l'utilisateur sans utiliser de mot de passe. L'authentification multifactrice, en revanche, est une méthode d'utilisation de deux facteurs indépendants ou plus pour vérifier l'identité de l'utilisateur. L'authentification sans mot de passe peut être utilisée dans le cadre de l'authentification multi-facteurs, dont l'une n'implique pas de mots de passe.

• Quels sont quelques exemples de méthodes d'authentification sans mot de passe? Certains exemples de méthodes d'authentification sans mot de passe incluent l'authentification biométrique (telle que la numérisation des empreintes digitales ou la reconnaissance faciale), les jetons matériels, les jetons logiciels et les notifications push mobiles. Ces méthodes peuvent être utilisées seule ou en combinaison pour améliorer la sécurité.

• est-il co?teux d'implémenter une authentification sans mot de passe élevée? Le co?t de la mise en ?uvre de l'authentification sans mot de passe peut varier d'un facteur à l'autre, y compris la taille de la base d'utilisateurs, la complexité des systèmes existants et l'approche sans mot de passe choisie. Bien qu'il puisse nécessiter un investissement initial, il peut réduire les co?ts à long terme en réduisant les ressources utilisées pour la gestion et la récupération des mots de passe.

• Comment passer à une authentification sans mot de passe? La transition vers l'authentification sans mot de passe implique plusieurs étapes. Tout d'abord, vous devez évaluer vos besoins de sécurité et choisir la bonne approche. Vous devez ensuite mettre à jour votre système et traiter pour prendre en charge la méthode sélectionnée. Enfin, vous devez éduquer vos utilisateurs sur les nouvelles méthodes et les guider tout au long du processus de transition. Il est recommandé de travailler avec un fournisseur de sécurité de confiance pour assurer une transition en douceur.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!