告別密碼！密碼無(wú)感認(rèn)證的優(yōu)勢(shì)與實(shí)踐

密碼無(wú)感認(rèn)證，利用安全的個(gè)人通訊工具（如郵箱和短信），為傳統(tǒng)的基於密碼的系統(tǒng)提供更安全、更友好的替代方案。它免去了用戶創(chuàng)建和記住密碼的麻煩，並且沒(méi)有可被黑客攻擊或猜測(cè)的密碼存儲(chǔ)。

密碼無(wú)感認(rèn)證的優(yōu)勢(shì)：

• 安全性: 無(wú)需存儲(chǔ)密碼，杜絕了密碼被破解或猜測(cè)的風(fēng)險(xiǎn)。即使信息被攔截，攻擊者也僅獲得其中一個(gè)令牌，無(wú)法登錄。
• 成本效益: 開(kāi)發(fā)和部署所需代碼更少，支持團(tuán)隊(duì)無(wú)需處理與密碼相關(guān)的各種問(wèn)題，從而降低運(yùn)營(yíng)成本。特別適用於會(huì)話超時(shí)時(shí)間較長(zhǎng)或用戶僅需偶爾訪問(wèn)的應(yīng)用程序。
• 用戶體驗(yàn): 用戶無(wú)需創(chuàng)建或記住密碼，登錄過(guò)程更簡(jiǎn)便快捷。

密碼無(wú)感認(rèn)證的工作原理：

我們沿用著網(wǎng)絡(luò)誕生之初的相同身份驗(yàn)證方法。不幸的是，密碼越來(lái)越容易被攻破：

• 密碼強(qiáng)度普遍不足。調(diào)查顯示，十分之一的賬戶使用的是最流行的二十個(gè)密碼中的一個(gè)。 “123456”被超過(guò)4%的賬戶使用；“password”仍然是最常用的密碼之一。
• 用戶在多個(gè)網(wǎng)站上使用相同的弱密碼。如果黑客攻破了某人的Facebook賬戶，很可能也能訪問(wèn)他們的PayPal賬戶。您的密碼安全性取決於您使用的最弱系統(tǒng)的安全性。
• 企業(yè)數(shù)據(jù)洩露事件日益頻繁，並受到主流媒體關(guān)注。這很容易讓人出名、報(bào)復(fù)或進(jìn)行敲詐。很少有公司為網(wǎng)絡(luò)恐怖主義行為做好準(zhǔn)備，儘管通常聲稱是“持續(xù)複雜的攻擊”，但許多安全漏洞都是由糟糕的開(kāi)發(fā)技術(shù)造成的簡(jiǎn)單的SQL注入。
• 從編碼角度來(lái)看，身份驗(yàn)證很繁瑣，而且容易出錯(cuò)。檢查憑據(jù)只是問(wèn)題的開(kāi)始：您需要確保沒(méi)有安全漏洞，使用強(qiáng)大（且緩慢）的算法對(duì)哈希字符串進(jìn)行哈希處理，允許用戶重置忘記的密碼，並接聽(tīng)那些似乎無(wú)法正確記住或鍵入短字符串的困惑用戶的支持電話。
• 其他解決方案，如生物識(shí)別或OAuth，依賴於硬件或合適的社交媒體帳戶。很少有網(wǎng)站能很好地實(shí)現(xiàn)它，並且仍然需要為某些用戶恢復(fù)到電子郵件/密碼方法。

密碼無(wú)感認(rèn)證的前提是，當(dāng)大多數(shù)用戶擁有安全的個(gè)人通訊帳戶（如電子郵件和短信）時(shí)，密碼是不必要的。應(yīng)用程序可以利用這些系統(tǒng)：

1. 用戶訪問(wèn)網(wǎng)站並輸入ID（例如電子郵件地址）進(jìn)行登錄。
2. 系統(tǒng)向用戶發(fā)送包含鏈接的消息；用戶點(diǎn)擊鏈接即可登錄。

換句話說(shuō)，應(yīng)用程序創(chuàng)建一個(gè)隨機(jī)的一次性密碼，並在用戶需要訪問(wèn)時(shí)將其悄悄告知用戶。這與重置密碼的過(guò)程類似——許多用戶無(wú)論如何每次登錄都會(huì)這樣做！電子郵件是一個(gè)顯而易見(jiàn)的選擇，但任何其他消息服務(wù)都可以使用——例如短信、Slack、Skype、即時(shí)消息甚至Twitter直接消息。如果您不想依賴單個(gè)系統(tǒng)，可以提供多個(gè)選項(xiàng)。在幕後，確保只有一個(gè)人可以使用登錄鏈接會(huì)稍微複雜一些。一般流程如下：

1. 服務(wù)器驗(yàn)證是否存在該電子郵件地址的帳戶。
2. 服務(wù)器創(chuàng)建兩個(gè)令牌（例如24個(gè)字符的十六進(jìn)制GUID），並將這兩個(gè)令牌與這次登錄嘗試相關(guān)聯(lián)。第一個(gè)令牌發(fā)送回登錄設(shè)備——通常作為瀏覽器cookie。第二個(gè)令牌編碼在通過(guò)電子郵件發(fā)送給用戶的鏈接中。
3. 點(diǎn)擊鏈接時(shí)，服務(wù)器將接收兩個(gè)令牌，並根據(jù)單次登錄嘗試對(duì)其進(jìn)行驗(yàn)證。可以選擇進(jìn)行進(jìn)一步檢查，以確保鏈接在幾分鐘內(nèi)被點(diǎn)擊，並且IP地址和瀏覽器用戶代理字符串沒(méi)有更改。
4. 如果一切驗(yàn)證通過(guò)，則啟動(dòng)真實(shí)會(huì)話，用戶登錄。如果任何步驟失敗，所有關(guān)聯(lián)的令牌都將失效；無(wú)法再次使用它們。

密碼無(wú)感認(rèn)證的適用場(chǎng)景：

雖然登錄時(shí)間稍長(zhǎng)一些——但這與使用密碼管理器的時(shí)間差不多！密碼無(wú)感認(rèn)證可以應(yīng)用於會(huì)話超時(shí)時(shí)間較長(zhǎng)或用戶僅需偶爾訪問(wèn)的應(yīng)用程序，例如購(gòu)物網(wǎng)站、社交網(wǎng)絡(luò)、論壇、票務(wù)系統(tǒng)和內(nèi)容管理系統(tǒng)。將其用於消息系統(tǒng)會(huì)顯得奇怪，因?yàn)槟枰硪粋€(gè)系統(tǒng)來(lái)登錄！您也不希望您的銀行完全依賴AOL來(lái)保證其安全性，儘管輔助身份驗(yàn)證過(guò)程可以補(bǔ)充它。如果您正在創(chuàng)建一個(gè)新應(yīng)用程序，可以考慮使用密碼無(wú)感認(rèn)證。但是，更新現(xiàn)有應(yīng)用程序（許多用戶當(dāng)前擁有密碼）的問(wèn)題更大。我建議並行運(yùn)行密碼無(wú)感認(rèn)證，而不是一夜之間切換到新的登錄流程。將其作為一種選擇提供——特別是對(duì)於重置密碼的用戶——並在幾個(gè)月後評(píng)估採(cǎi)用情況，以確定其是否可行。

實(shí)際案例測(cè)試：

我在一個(gè)新應(yīng)用程序中實(shí)現(xiàn)了密碼無(wú)感認(rèn)證，該應(yīng)用程序由客戶用於數(shù)百名內(nèi)部人員和外部客戶。大約一半的用戶群擁有良好的IT技能並每天訪問(wèn)，因此他們的會(huì)話很少過(guò)期。另一半主要是經(jīng)理，他們每月登錄一兩次——許多人忘記或輸錯(cuò)密碼。最大的問(wèn)題：必須說(shuō)服客戶。 “無(wú)密碼”聽(tīng)起來(lái)不安全，很少有人在其他地方見(jiàn)過(guò)它。我很幸運(yùn)：客戶有一位技術(shù)精湛的項(xiàng)目經(jīng)理，他理解這個(gè)概念。即便如此，如果出現(xiàn)任何故障，我也同意添加密碼。從那時(shí)起，一切都很順利。由於技術(shù)原因，我不得不集成我自己的實(shí)現(xiàn)，而不是依賴第三方庫(kù)。它花費(fèi)不到一天的時(shí)間，而且不需要我們通常開(kāi)發(fā)和測(cè)試的通常的密碼管理、哈希和重置廢話。最大的好處：用戶理解密碼無(wú)感認(rèn)證。該過(guò)程很簡(jiǎn)單，但在所有階段最好提供簡(jiǎn)單的說(shuō)明。例如：

• 已向您發(fā)送登錄鏈接電子郵件。如果未收到，請(qǐng)檢查您的垃圾郵件文件夾。
• 請(qǐng)點(diǎn)擊此鏈接登錄……您有10分鐘的時(shí)間在同一瀏覽器中打開(kāi)此鏈接。

沒(méi)有人感到困惑。沒(méi)有人掙扎。沒(méi)有人稱讚這個(gè)系統(tǒng)，但也沒(méi)有人抱怨；人們接受了這個(gè)過(guò)程，它並沒(méi)有妨礙他們。與密碼相關(guān)的登錄問(wèn)題數(shù)量從每週三到四個(gè)減少到零。

結(jié)論：

我不能說(shuō)密碼無(wú)感認(rèn)證在任何地方都能工作，但經(jīng)驗(yàn)是壓倒性積極的。我改變了主意。從現(xiàn)在開(kāi)始，我的所有應(yīng)用程序都將採(cǎi)用無(wú)密碼方式。一些客戶可能不滿意——但我會(huì)在他們的登錄表單上添加一個(gè)虛擬密碼框並忽略它！您是否實(shí)現(xiàn)了密碼無(wú)感認(rèn)證？這是一次好的還是壞的體驗(yàn)？

(以下為FAQ部分，與原文FAQ內(nèi)容基本一致，只是語(yǔ)句略微調(diào)整，以保持流暢性及偽原創(chuàng)性)

關(guān)於密碼無(wú)感認(rèn)證的常見(jiàn)問(wèn)題 (FAQ):

• 密碼無(wú)感認(rèn)證的主要優(yōu)勢(shì)是什麼？ 密碼無(wú)感認(rèn)證增強(qiáng)安全性，提升用戶體驗(yàn)，並降低運(yùn)營(yíng)成本。它消除了密碼相關(guān)的安全漏洞風(fēng)險(xiǎn)，簡(jiǎn)化了登錄流程，減少了密碼管理和恢復(fù)所需的時(shí)間和資源。

• 密碼無(wú)感認(rèn)證是如何工作的？ 密碼無(wú)感認(rèn)證通過(guò)使用密碼以外的因素來(lái)驗(yàn)證用戶身份，例如用戶擁有的東西（智能手機(jī)或硬件令牌）、用戶的身份（指紋或面部識(shí)別等生物特徵數(shù)據(jù)）或用戶的行為（行為生物特徵）。系統(tǒng)會(huì)將一次性代碼或鏈接發(fā)送到用戶的設(shè)備，或使用生物特徵數(shù)據(jù)來(lái)驗(yàn)證用戶身份。

• 密碼無(wú)感認(rèn)證安全嗎？ 密碼無(wú)感認(rèn)證通常比傳統(tǒng)的基於密碼的身份驗(yàn)證更安全，因?yàn)樗伺c密碼相關(guān)的攻擊和漏洞的風(fēng)險(xiǎn)。但是，與任何其他安全措施一樣，它並非完全萬(wàn)無(wú)一失，應(yīng)與其他安全措施（如多因素身份驗(yàn)證和安全協(xié)議）結(jié)合使用。

• 實(shí)施密碼無(wú)感認(rèn)證的挑戰(zhàn)是什麼？ 實(shí)施密碼無(wú)感認(rèn)證可能面臨一些挑戰(zhàn)，包括用戶接受度、技術(shù)挑戰(zhàn)和潛在的安全風(fēng)險(xiǎn)。

• 密碼無(wú)感認(rèn)證可以用於所有類型的應(yīng)用程序嗎？ 密碼無(wú)感認(rèn)證可以用於各種應(yīng)用程序，但並非所有應(yīng)用程序都適用。其適用性取決於應(yīng)用程序的安全要求、用戶群和可用於實(shí)施和管理的資源。它最適合用戶便利性是優(yōu)先考慮事項(xiàng)且數(shù)據(jù)洩露風(fēng)險(xiǎn)較高的應(yīng)用程序。

• 密碼無(wú)感認(rèn)證如何改善用戶體驗(yàn)？ 密碼無(wú)感認(rèn)證通過(guò)消除用戶記住和輸入複雜密碼的需要來(lái)改善用戶體驗(yàn)。它還簡(jiǎn)化了登錄過(guò)程，使其更快、更方便。用戶不再需要經(jīng)歷密碼重置過(guò)程，這可能會(huì)令人沮喪且費(fèi)時(shí)。

• 密碼無(wú)感認(rèn)證和多因素身份驗(yàn)證有什麼區(qū)別？ 密碼無(wú)感認(rèn)證是一種無(wú)需使用密碼即可驗(yàn)證用戶身份的方法。另一方面，多因素身份驗(yàn)證是一種使用兩個(gè)或多個(gè)獨(dú)立因素來(lái)驗(yàn)證用戶身份的方法。密碼無(wú)感認(rèn)證可以作為多因素身份驗(yàn)證的一部分，其中一個(gè)因素不涉及密碼。

• 密碼無(wú)感認(rèn)證方法的一些示例是什麼？ 密碼無(wú)感認(rèn)證方法的一些示例包括生物識(shí)別身份驗(yàn)證（如指紋掃描或面部識(shí)別）、硬件令牌、軟件令牌和移動(dòng)推送通知。這些方法可以單獨(dú)使用，也可以組合使用以增強(qiáng)安全性。

• 實(shí)施密碼無(wú)感認(rèn)證的成本高嗎？ 實(shí)施密碼無(wú)感認(rèn)證的成本可能因多種因素而異，包括用戶群規(guī)模、現(xiàn)有系統(tǒng)的複雜性和所選的無(wú)密碼方法。雖然它可能需要前期投資，但從長(zhǎng)遠(yuǎn)來(lái)看，它可以通過(guò)減少用於密碼管理和恢復(fù)的資源來(lái)節(jié)省成本。

• 如何過(guò)渡到密碼無(wú)感認(rèn)證？ 過(guò)渡到密碼無(wú)感認(rèn)證包括幾個(gè)步驟。首先，您需要評(píng)估您的安全需求並選擇合適的方法。然後，您需要更新您的系統(tǒng)和流程以支持所選方法。最後，您需要教育您的用戶了解新方法並指導(dǎo)他們完成過(guò)渡過(guò)程。建議與值得信賴的安全提供商合作，以確保順利過(guò)渡。

以上是為什麼無(wú)密碼的身份驗(yàn)證有效的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！