パスワードに別れを告げてください！パスワードレス認(rèn)証の利點(diǎn)と慣行

パスワードのない認(rèn)証は、電子メールやテキストメッセージなどの安全な個(gè)人的なコミュニケーションツールを使用して、従來のパスワードベースのシステムに代わるより安全でフレンドリーな代替品を提供します。パスワードの作成と記憶の手間からユーザーを救い、ハッキングまたは推測できるパスワードストレージはありません。

パスワードレス認(rèn)証の利點(diǎn)：

• セキュリティ：パスワードを保存する必要はなく、パスワードがクラックまたは推測されるリスクを排除します。情報(bào)が傍受されたとしても、攻撃者はトークンの1つだけを取得し、ログインできません。
• 費(fèi)用対効果：開発と展開にはコードが少なくなり、サポートチームはさまざまなパスワード関連の問題に対処する必要はなく、運(yùn)用コストが削減されます。特に、セッションのタイムアウトが長いアプリケーションや、ユーザーがたまにアクセスする必要があるアプリケーションに適しています。
• ユーザーエクスペリエンス：ユーザーは、パスワードを作成または覚えておく必要がなく、ログインプロセスはより簡単かつ高速です。

パスワードの原則目に見えない認(rèn)証：

インターネットの開始と同じ認(rèn)証方法を使用します。殘念ながら、パスワードはますます壊れやすくなっています：

• パスワードの強(qiáng)度は一般に不十分です。調(diào)査では、10個(gè)に1つが最も人気のある20のパスワードの1つを使用していることが示されています。 「123456」は、アカウントの4％以上で使用されています。
• ユーザーは、複數(shù)のWebサイトで同じ弱いパスワードを使用します。ハッカーが誰かのFacebookアカウントを突破した場合、彼はおそらくPayPalアカウントにもアクセスできるでしょう。パスワードセキュリティは、使用する最も弱いシステムのセキュリティに依存します。
• エンタープライズデータ侵害はますます頻繁になり、主流メディアの注目を集めています。それは人々を簡単に有名にしたり、報(bào)復(fù)したり、脅迫したりすることができます。サイバーテロ行為に備えている企業(yè)はほとんどなく、しばしば「継続的に複雑な攻撃」であると主張しているにもかかわらず、多くのセキュリティ侵害は開発技術(shù)の不十分なSQL注入です。
• コーディングの観點(diǎn)から見ると、認(rèn)証は面倒でエラーが発生しやすいです。資格情報(bào)のチェックは問題の始まりに過ぎません。セキュリティの脆弱性がないことを確認(rèn)する必要があります。ハッシュ文字列に強(qiáng)力な（および遅い）アルゴリズムを使用して、ユーザーが忘れられたパスワードをリセットし、そうでないものに答えることができます。正しく覚えているか、混亂を招くユーザーのサポート電話の短い文字列を入力しているようです。
バイオメトリクスやOAuthなどのその他のソリューションは、ハードウェアまたは適切なソーシャルメディアアカウントに依存しています。いくつかのユーザーのために電子メール/パスワード方法に復(fù)元する必要があるウェブサイトはほとんどありません。

パスワードのない認(rèn)証は、ほとんどのユーザーが安全な個(gè)人通信アカウント（電子メールやテキストメッセージなど）を持っている場合、パスワードが不要であるという前提條件です。アプリケーションは、これらのシステムを利用できます：

1. ユーザーはWebサイトにアクセスし、ID（メールアドレスなど）を入力してログインします。
2. システムは、ユーザーへのリンクを含むメッセージを送信します。

言い換えれば、アプリケーションはランダムな1回限りのパスワードを作成し、アクセスが必要なときにユーザーに靜かに通知します。これは、パスワードをリセットするプロセスに似ています。多くのユーザーは、とにかくログインするたびにこれを行います。電子メールは明らかな選択肢ですが、SMS、Slack、Skype、インスタントメッセージ、さらにはTwitterダイレクトメッセージなど、他のメッセージングサービスを使用できます。単一のシステムに頼りたくない場合は、複數(shù)のオプションを使用できます。舞臺裏では、1人だけがログインリンクを使用できることを確認(rèn)するのはもう少し複雑です。一般的なプロセスは次のとおりです

サーバーは、メールアドレスを含むアカウントが存在することを確認(rèn)します。
サーバーは、2つのトークン（24文字の16進(jìn)數(shù)ガイドなど）を作成し、これら2つのトークンをこのログイン試行に関連付けます。最初のトークンは、通常、ブラウザクッキーとしてログインデバイスに送り返されます。 2番目のトークンは、電子メールでユーザーに送信されたリンクにエンコードされています。
リンクをクリックすると、サーバーは2つのトークンを受信し、単一のログイン試行に基づいてそれらを検証します。リンクが數(shù)分以內(nèi)にクリックされ、IPアドレスとブラウザのユーザーエージェント文字列が変更されていないことを確認(rèn)するために、さらにチェックを行うオプションがあります。
すべての検証が渡された場合、実際のセッションが開始され、ユーザーがログインします。ステップが失敗した場合、関連するすべてのトークンは無効になります。
パスワードレス認(rèn)証のための該當(dāng)するシナリオ：

ログイン時(shí)間はもう少し長いですが、これはパスワードマネージャーを使用するのとほぼ同じ時(shí)間です！パスワードのない認(rèn)証は、セッションのタイムアウトが長いアプリケーションに適用できます。または、ショッピングWebサイト、ソーシャルネットワーク、フォーラム、チケットシステム、コンテンツ管理システムなど、ユーザーがたまに訪問するだけです。ログインするには別のシステムが必要なので、メッセージングシステムに使用するのは奇妙に思えます！また、補(bǔ)助認(rèn)証プロセスはそれを補(bǔ)完することができますが、銀行がAOLのセキュリティに完全に依存することを望んでいません。新しいアプリケーションを作成している場合は、パスワードのない認(rèn)証を使用することを検討してください。ただし、既存のアプリケーションを更新する問題（現(xiàn)在、多くのユーザーにはパスワードがあります）。新しいログインプロセスに一晩切り替えるのではなく、パスワードのない認(rèn)証を並行して実行することをお?jiǎng)幛幛筏蓼?。特にパスワードをリセットするユーザー向けにオプションとして提供し、數(shù)か月後に採用を評価して、実行可能かどうかを判斷します。

実用的なケーステスト：

私は、何百もの內(nèi)部および外部顧客に顧客が使用する新しいアプリケーションにパスワードフリー認(rèn)証を?qū)g裝しています。ユーザーベースの約半分には優(yōu)れたITスキルがあり、毎日アクセスできるため、セッションはめったに期限切れになりません。殘りの半分は、主に月に1?2回ログインするマネージャーです。多くの人が間違ったパスワードを忘れたり入力したりします。最大の問題：顧客は納得しなければなりません。 「パスワードなし」は安全ではないように聞こえ、他の場所で見た人はほとんどいません。私は幸運(yùn)です：クライアントには、この概念を理解している非常に熟練したプロジェクトマネージャーがいます。それでも、失敗がある場合は、パスワードを追加することに同意します。それ以來、すべてが順調(diào)に進(jìn)んでいます。サードパーティライブラリに依存するのではなく、技術(shù)的な理由で自分の実裝を統(tǒng)合する必要がありました。 1日もかからず、通常の開発とテストの通常のパスワード管理、ハッシュ、リセットナンセンスを必要としません。最大の利點(diǎn)：ユーザーはパスワードのない認(rèn)証を理解しています。プロセスは簡単ですが、すべての段階で簡単な指示を提供することをお?jiǎng)幛幛筏蓼埂￥郡趣à小?/em>

• ログインリンクメールが送信されました。受信していない場合は、スパムフォルダーを確認(rèn)してください。
• このリンクをクリックしてログインしてください...同じブラウザでこのリンクを開くのに10分あります。

誰も混亂していませんでした。誰も苦労しませんでした。誰もこのシステムを稱賛しませんでしたが、誰も不満を言いませんでした。パスワード関連のログイン問題の數(shù)は、水曜日から週4に減少しました。

結(jié)論：

パスワードのない認(rèn)証がどこでも機(jī)能するとは言えませんが、経験は圧倒的に肯定的です。気が変わった。これからは、すべてのアプリケーションがパスワードレスになります。一部の顧客は満足していないかもしれませんが、ログインフォームに仮想パスワードボックスを追加して無視します！パスワードのない認(rèn)証を?qū)g裝しましたか？これは良い経験ですか、それとも悪い経験ですか？

（以下はFAQパーツであり、基本的に元のFAQコンテンツと同じですが、その文は流encyさと擬似原産性を維持するためにわずかに調(diào)整されています） パスワードに関するよくある質(zhì)問（FAQ）：

パスワードのない認(rèn)証の主な利點(diǎn)は何ですか？
• パスワードのない認(rèn)証により、セキュリティが強(qiáng)化され、ユーザーエクスペリエンスが向上し、運(yùn)用コストが削減されます。パスワード関連のセキュリティの脆弱性リスクを排除し、ログインプロセスを簡素化し、パスワード管理と回復(fù)に必要な時(shí)間とリソースを削減します。

パスワードのない認(rèn)証はどのように機(jī)能しますか？
• パスワードのない認(rèn)証は、ユーザーが所有するもの（スマートフォンまたはハードウェアトークン）、ユーザーの身元（指紋や顔の認(rèn)識などの生物學(xué)的データ）、またはユーザーの動(dòng)作など、パスワード以外の要因を使用してユーザーのIDを検証します。行動(dòng)生體認(rèn)証）。システムは、ユーザーのデバイスに1回限りのコードまたはリンクを送信するか、生體認(rèn)証データを使用してユーザーのIDを確認(rèn)します。

• パスワードのない認(rèn)証は安全ですか？ パスワードのない認(rèn)証は、通常、パスワード関連の攻撃や脆弱性のリスクを排除するため、従來のパスワードベースの認(rèn)証よりも安全です。ただし、他のセキュリティ測定と同様に、それは完全に完全なものではなく、マルチファクター認(rèn)証やセキュリティプロトコルなどの他のセキュリティ対策と組み合わせて使用??する必要があります。

• パスワードのない認(rèn)証を?qū)g裝することの課題は何ですか？ パスワードのない認(rèn)証の実裝は、ユーザーの受け入れ、技術(shù)的課題、潛在的なセキュリティリスクなど、いくつかの課題に直面する可能性があります。

• あらゆるタイプのアプリケーションにパスワードなしの認(rèn)証を使用できますか？ パスワードレス認(rèn)証はさまざまなアプリケーションで使用できますが、すべてのアプリケーションが適用できるわけではありません。その適用性は、アプリケーション、ユーザーベース、および実裝と管理に利用できるリソースのセキュリティ要件に依存します。ユーザーの利便性が優(yōu)先事項(xiàng)であり、データ侵害のリスクが高いアプリケーションに最適です。

• パスワードのない認(rèn)証はユーザーエクスペリエンスをどのように改善しますか？ パスワードのない認(rèn)証により、ユーザーが複雑なパスワードを覚えて入力する必要性を排除することにより、ユーザーエクスペリエンスが向上します。また、ログインプロセスを簡素化し、より速く、より便利にします。ユーザーは、パスワードリセットプロセスを?qū)g行する必要がなくなり、イライラし、時(shí)間がかかる場合があります。

• パスワードのない認(rèn)証とマルチファクター認(rèn)証の違いは何ですか？ パスワードのない認(rèn)証は、パスワードを使用せずにユーザーのIDを確認(rèn)する方法です。一方、マルチファクター認(rèn)証は、2つ以上の獨(dú)立した要因を使用してユーザーIDを検証する方法です。パスワードのない認(rèn)証は、マルチファクター認(rèn)証の一部として使用できますが、そのうちの1つはパスワードを含みません。

• パスワードのない認(rèn)証方法の例は何ですか？ パスワードのない認(rèn)証方法の例には、生體認(rèn)証（指紋スキャンや顔認(rèn)識など）、ハードウェアトークン、ソフトウェアトークン、モバイルプッシュ通知などがあります。これらの方法は、セキュリティを強(qiáng)化するために単獨(dú)または組み合わせて使用??できます。

• パスワードのない認(rèn)証を?qū)g裝するのに費(fèi)用はかかりますか？ パスワードのない認(rèn)証を?qū)g裝するコストは、ユーザーのベースサイズ、既存のシステムの複雑さ、選択されたパスワードのないアプローチなど、要因によって異なる場合があります。前払いの投資が必要な場合がありますが、パスワード管理と回復(fù)に使用されるリソースを削減することにより、長期的にコストを節(jié)約できます。

• パスワードのない認(rèn)証に移行する方法は？ パスワードのない認(rèn)証への移行には、いくつかのステップが含まれます。まず、セキュリティのニーズを評価し、適切なアプローチを選択する必要があります。次に、選択した方法をサポートするためにシステムとプロセスを更新する必要があります。最後に、新しい方法についてユーザーを教育し、移行プロセスを通じてガイドする必要があります。スムーズな移行を確保するために、信頼できるセキュリティプロバイダーと協(xié)力することをお?jiǎng)幛幛筏蓼埂?

以上がパスワードレス認(rèn)証が機(jī)能する理由の詳細(xì)內(nèi)容です。詳細(xì)については、PHP 中國語 Web サイトの他の関連記事を參照してください。