告別密碼！密碼無(wú)感認(rèn)證的優(yōu)勢(shì)與實(shí)踐

密碼無(wú)感認(rèn)證，利用安全的個(gè)人通訊工具（如郵箱和短信），為傳統(tǒng)的基于密碼的系統(tǒng)提供更安全、更友好的替代方案。它免去了用戶(hù)創(chuàng)建和記住密碼的麻煩，并且沒(méi)有可被黑客攻擊或猜測(cè)的密碼存儲(chǔ)。

密碼無(wú)感認(rèn)證的優(yōu)勢(shì)：

• 安全性: 無(wú)需存儲(chǔ)密碼，杜絕了密碼被破解或猜測(cè)的風(fēng)險(xiǎn)。即使信息被攔截，攻擊者也僅獲得其中一個(gè)令牌，無(wú)法登錄。
• 成本效益: 開(kāi)發(fā)和部署所需代碼更少，支持團(tuán)隊(duì)無(wú)需處理與密碼相關(guān)的各種問(wèn)題，從而降低運(yùn)營(yíng)成本。特別適用于會(huì)話超時(shí)時(shí)間較長(zhǎng)或用戶(hù)僅需偶爾訪問(wèn)的應(yīng)用程序。
• 用戶(hù)體驗(yàn): 用戶(hù)無(wú)需創(chuàng)建或記住密碼，登錄過(guò)程更簡(jiǎn)便快捷。

密碼無(wú)感認(rèn)證的工作原理：

我們沿用著網(wǎng)絡(luò)誕生之初的相同身份驗(yàn)證方法。不幸的是，密碼越來(lái)越容易被攻破：

• 密碼強(qiáng)度普遍不足。調(diào)查顯示，十分之一的賬戶(hù)使用的是最流行的二十個(gè)密碼中的一個(gè)?！?23456”被超過(guò)4%的賬戶(hù)使用；“password”仍然是最常用的密碼之一。
• 用戶(hù)在多個(gè)網(wǎng)站上使用相同的弱密碼。如果黑客攻破了某人的Facebook賬戶(hù)，很可能也能訪問(wèn)他們的PayPal賬戶(hù)。您的密碼安全性取決于您使用的最弱系統(tǒng)的安全性。
• 企業(yè)數(shù)據(jù)泄露事件日益頻繁，并受到主流媒體關(guān)注。這很容易讓人出名、報(bào)復(fù)或進(jìn)行敲詐。很少有公司為網(wǎng)絡(luò)恐怖主義行為做好準(zhǔn)備，盡管通常聲稱(chēng)是“持續(xù)復(fù)雜的攻擊”，但許多安全漏洞都是由糟糕的開(kāi)發(fā)技術(shù)造成的簡(jiǎn)單的SQL注入。
• 從編碼角度來(lái)看，身份驗(yàn)證很繁瑣，而且容易出錯(cuò)。檢查憑據(jù)只是問(wèn)題的開(kāi)始：您需要確保沒(méi)有安全漏洞，使用強(qiáng)大（且緩慢）的算法對(duì)哈希字符串進(jìn)行哈希處理，允許用戶(hù)重置忘記的密碼，并接聽(tīng)那些似乎無(wú)法正確記住或鍵入短字符串的困惑用戶(hù)的支持電話。
• 其他解決方案，如生物識(shí)別或OAuth，依賴(lài)于硬件或合適的社交媒體帳戶(hù)。很少有網(wǎng)站能很好地實(shí)現(xiàn)它，并且仍然需要為某些用戶(hù)恢復(fù)到電子郵件/密碼方法。

密碼無(wú)感認(rèn)證的前提是，當(dāng)大多數(shù)用戶(hù)擁有安全的個(gè)人通訊帳戶(hù)（如電子郵件和短信）時(shí)，密碼是不必要的。應(yīng)用程序可以利用這些系統(tǒng)：

1. 用戶(hù)訪問(wèn)網(wǎng)站并輸入ID（例如電子郵件地址）進(jìn)行登錄。
2. 系統(tǒng)向用戶(hù)發(fā)送包含鏈接的消息；用戶(hù)點(diǎn)擊鏈接即可登錄。

換句話說(shuō)，應(yīng)用程序創(chuàng)建一個(gè)隨機(jī)的一次性密碼，并在用戶(hù)需要訪問(wèn)時(shí)將其悄悄告知用戶(hù)。這與重置密碼的過(guò)程類(lèi)似——許多用戶(hù)無(wú)論如何每次登錄都會(huì)這樣做！電子郵件是一個(gè)顯而易見(jiàn)的選擇，但任何其他消息服務(wù)都可以使用——例如短信、Slack、Skype、即時(shí)消息甚至Twitter直接消息。如果您不想依賴(lài)單個(gè)系統(tǒng)，可以提供多個(gè)選項(xiàng)。在幕后，確保只有一個(gè)人可以使用登錄鏈接會(huì)稍微復(fù)雜一些。一般流程如下：

1. 服務(wù)器驗(yàn)證是否存在該電子郵件地址的帳戶(hù)。
2. 服務(wù)器創(chuàng)建兩個(gè)令牌（例如24個(gè)字符的十六進(jìn)制GUID），并將這兩個(gè)令牌與這次登錄嘗試相關(guān)聯(lián)。第一個(gè)令牌發(fā)送回登錄設(shè)備——通常作為瀏覽器cookie。第二個(gè)令牌編碼在通過(guò)電子郵件發(fā)送給用戶(hù)的鏈接中。
3. 點(diǎn)擊鏈接時(shí)，服務(wù)器將接收兩個(gè)令牌，并根據(jù)單次登錄嘗試對(duì)其進(jìn)行驗(yàn)證?？梢赃x擇進(jìn)行進(jìn)一步檢查，以確保鏈接在幾分鐘內(nèi)被點(diǎn)擊，并且IP地址和瀏覽器用戶(hù)代理字符串沒(méi)有更改。
4. 如果一切驗(yàn)證通過(guò)，則啟動(dòng)真實(shí)會(huì)話，用戶(hù)登錄。如果任何步驟失敗，所有關(guān)聯(lián)的令牌都將失效；無(wú)法再次使用它們。

密碼無(wú)感認(rèn)證的適用場(chǎng)景：

雖然登錄時(shí)間稍長(zhǎng)一些——但這與使用密碼管理器的時(shí)間差不多！密碼無(wú)感認(rèn)證可以應(yīng)用于會(huì)話超時(shí)時(shí)間較長(zhǎng)或用戶(hù)僅需偶爾訪問(wèn)的應(yīng)用程序，例如購(gòu)物網(wǎng)站、社交網(wǎng)絡(luò)、論壇、票務(wù)系統(tǒng)和內(nèi)容管理系統(tǒng)。將其用于消息系統(tǒng)會(huì)顯得奇怪，因?yàn)槟枰硪粋€(gè)系統(tǒng)來(lái)登錄！您也不希望您的銀行完全依賴(lài)AOL來(lái)保證其安全性，盡管輔助身份驗(yàn)證過(guò)程可以補(bǔ)充它。如果您正在創(chuàng)建一個(gè)新應(yīng)用程序，可以考慮使用密碼無(wú)感認(rèn)證。但是，更新現(xiàn)有應(yīng)用程序（許多用戶(hù)當(dāng)前擁有密碼）的問(wèn)題更大。我建議并行運(yùn)行密碼無(wú)感認(rèn)證，而不是一夜之間切換到新的登錄流程。將其作為一種選擇提供——特別是對(duì)于重置密碼的用戶(hù)——并在幾個(gè)月后評(píng)估采用情況，以確定其是否可行。

實(shí)際案例測(cè)試：

我在一個(gè)新應(yīng)用程序中實(shí)現(xiàn)了密碼無(wú)感認(rèn)證，該應(yīng)用程序由客戶(hù)用于數(shù)百名內(nèi)部人員和外部客戶(hù)。大約一半的用戶(hù)群擁有良好的IT技能并每天訪問(wèn)，因此他們的會(huì)話很少過(guò)期。另一半主要是經(jīng)理，他們每月登錄一兩次——許多人忘記或輸錯(cuò)密碼。最大的問(wèn)題：必須說(shuō)服客戶(hù)?！盁o(wú)密碼”聽(tīng)起來(lái)不安全，很少有人在其他地方見(jiàn)過(guò)它。我很幸運(yùn)：客戶(hù)有一位技術(shù)精湛的項(xiàng)目經(jīng)理，他理解這個(gè)概念。即便如此，如果出現(xiàn)任何故障，我也同意添加密碼。從那時(shí)起，一切都很順利。由于技術(shù)原因，我不得不集成我自己的實(shí)現(xiàn)，而不是依賴(lài)第三方庫(kù)。它花費(fèi)不到一天的時(shí)間，而且不需要我們通常開(kāi)發(fā)和測(cè)試的通常的密碼管理、哈希和重置廢話。最大的好處：用戶(hù)理解密碼無(wú)感認(rèn)證。該過(guò)程很簡(jiǎn)單，但在所有階段最好提供簡(jiǎn)單的說(shuō)明。例如：

• 已向您發(fā)送登錄鏈接電子郵件。如果未收到，請(qǐng)檢查您的垃圾郵件文件夾。
• 請(qǐng)點(diǎn)擊此鏈接登錄……您有10分鐘的時(shí)間在同一瀏覽器中打開(kāi)此鏈接。

沒(méi)有人感到困惑。沒(méi)有人掙扎。沒(méi)有人稱(chēng)贊這個(gè)系統(tǒng)，但也沒(méi)有人抱怨；人們接受了這個(gè)過(guò)程，它并沒(méi)有妨礙他們。與密碼相關(guān)的登錄問(wèn)題數(shù)量從每周三到四個(gè)減少到零。

結(jié)論：

我不能說(shuō)密碼無(wú)感認(rèn)證在任何地方都能工作，但經(jīng)驗(yàn)是壓倒性積極的。我改變了主意。從現(xiàn)在開(kāi)始，我的所有應(yīng)用程序都將采用無(wú)密碼方式。一些客戶(hù)可能不滿(mǎn)意——但我會(huì)在他們的登錄表單上添加一個(gè)虛擬密碼框并忽略它！您是否實(shí)現(xiàn)了密碼無(wú)感認(rèn)證？這是一次好的還是壞的體驗(yàn)？

(以下為FAQ部分，與原文FAQ內(nèi)容基本一致，只是語(yǔ)句略微調(diào)整，以保持流暢性及偽原創(chuàng)性)

關(guān)于密碼無(wú)感認(rèn)證的常見(jiàn)問(wèn)題 (FAQ):

• 密碼無(wú)感認(rèn)證的主要優(yōu)勢(shì)是什么？ 密碼無(wú)感認(rèn)證增強(qiáng)安全性，提升用戶(hù)體驗(yàn)，并降低運(yùn)營(yíng)成本。它消除了密碼相關(guān)的安全漏洞風(fēng)險(xiǎn)，簡(jiǎn)化了登錄流程，減少了密碼管理和恢復(fù)所需的時(shí)間和資源。

• 密碼無(wú)感認(rèn)證是如何工作的？ 密碼無(wú)感認(rèn)證通過(guò)使用密碼以外的因素來(lái)驗(yàn)證用戶(hù)身份，例如用戶(hù)擁有的東西（智能手機(jī)或硬件令牌）、用戶(hù)的身份（指紋或面部識(shí)別等生物特征數(shù)據(jù)）或用戶(hù)的行為（行為生物特征）。系統(tǒng)會(huì)將一次性代碼或鏈接發(fā)送到用戶(hù)的設(shè)備，或使用生物特征數(shù)據(jù)來(lái)驗(yàn)證用戶(hù)身份。

• 密碼無(wú)感認(rèn)證安全嗎？ 密碼無(wú)感認(rèn)證通常比傳統(tǒng)的基于密碼的身份驗(yàn)證更安全，因?yàn)樗伺c密碼相關(guān)的攻擊和漏洞的風(fēng)險(xiǎn)。但是，與任何其他安全措施一樣，它并非完全萬(wàn)無(wú)一失，應(yīng)與其他安全措施（如多因素身份驗(yàn)證和安全協(xié)議）結(jié)合使用。

• 實(shí)施密碼無(wú)感認(rèn)證的挑戰(zhàn)是什么？ 實(shí)施密碼無(wú)感認(rèn)證可能面臨一些挑戰(zhàn)，包括用戶(hù)接受度、技術(shù)挑戰(zhàn)和潛在的安全風(fēng)險(xiǎn)。

• 密碼無(wú)感認(rèn)證可以用于所有類(lèi)型的應(yīng)用程序嗎？ 密碼無(wú)感認(rèn)證可以用于各種應(yīng)用程序，但并非所有應(yīng)用程序都適用。其適用性取決于應(yīng)用程序的安全要求、用戶(hù)群和可用于實(shí)施和管理的資源。它最適合用戶(hù)便利性是優(yōu)先考慮事項(xiàng)且數(shù)據(jù)泄露風(fēng)險(xiǎn)較高的應(yīng)用程序。

• 密碼無(wú)感認(rèn)證如何改善用戶(hù)體驗(yàn)？ 密碼無(wú)感認(rèn)證通過(guò)消除用戶(hù)記住和輸入復(fù)雜密碼的需要來(lái)改善用戶(hù)體驗(yàn)。它還簡(jiǎn)化了登錄過(guò)程，使其更快、更方便。用戶(hù)不再需要經(jīng)歷密碼重置過(guò)程，這可能會(huì)令人沮喪且費(fèi)時(shí)。

• 密碼無(wú)感認(rèn)證和多因素身份驗(yàn)證有什么區(qū)別？ 密碼無(wú)感認(rèn)證是一種無(wú)需使用密碼即可驗(yàn)證用戶(hù)身份的方法。另一方面，多因素身份驗(yàn)證是一種使用兩個(gè)或多個(gè)獨(dú)立因素來(lái)驗(yàn)證用戶(hù)身份的方法。密碼無(wú)感認(rèn)證可以作為多因素身份驗(yàn)證的一部分，其中一個(gè)因素不涉及密碼。

• 密碼無(wú)感認(rèn)證方法的一些示例是什么？ 密碼無(wú)感認(rèn)證方法的一些示例包括生物識(shí)別身份驗(yàn)證（如指紋掃描或面部識(shí)別）、硬件令牌、軟件令牌和移動(dòng)推送通知。這些方法可以單獨(dú)使用，也可以組合使用以增強(qiáng)安全性。

• 實(shí)施密碼無(wú)感認(rèn)證的成本高嗎？ 實(shí)施密碼無(wú)感認(rèn)證的成本可能因多種因素而異，包括用戶(hù)群規(guī)模、現(xiàn)有系統(tǒng)的復(fù)雜性和所選的無(wú)密碼方法。雖然它可能需要前期投資，但從長(zhǎng)遠(yuǎn)來(lái)看，它可以通過(guò)減少用于密碼管理和恢復(fù)的資源來(lái)節(jié)省成本。

• 如何過(guò)渡到密碼無(wú)感認(rèn)證？ 過(guò)渡到密碼無(wú)感認(rèn)證包括幾個(gè)步驟。首先，您需要評(píng)估您的安全需求并選擇合適的方法。然后，您需要更新您的系統(tǒng)和流程以支持所選方法。最后，您需要教育您的用戶(hù)了解新方法并指導(dǎo)他們完成過(guò)渡過(guò)程。建議與值得信賴(lài)的安全提供商合作，以確保順利過(guò)渡。

以上是為什么無(wú)密碼的身份驗(yàn)證有效的詳細(xì)內(nèi)容。更多信息請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！