암호가없는 인증이 작동하는 이유

비밀번호에 작별 인사! 비밀번호없는 인증의 장점과 관행

비밀번호가없는 인증은 전자 메일 및 문자 메시지와 같은 안전한 개인 커뮤니케이션 도구를 사용하여 기존 비밀번호 기반 시스템에 대한보다 안전하고 친근한 대안을 제공합니다. 비밀번호를 만들고 기억하는 번거 로움에서 사용자를 절약 할 수 있으며 해킹하거나 추측 할 수있는 비밀번호 스토리지는 없습니다.

암호없는 인증의 장점 :

보안 : 비밀번호를 저장할 필요가 없어 암호가 갈라 지거나 추측 될 위험이 없어집니다. 정보가 가로 채워도 공격자는 토큰 중 하나만 얻고 로그인 할 수 없습니다.

비용 효율성 : 개발 및 배포에는 코드가 적으며 지원 팀은 다양한 비밀번호 관련 문제를 처리 할 필요가 없으므로 운영 비용이 줄어 듭니다. 세션 타임 아웃이 길거나 사용자가 가끔 액세스하기 만하면 응용 프로그램에 특히 적합합니다.

사용자 경험 : 사용자는 비밀번호를 만들거나 기억할 필요가 없으며 로그인 프로세스가 더 쉽고 빠릅니다.

• 비밀번호 보이지 않는 인증의 원리 : 우리는 인터넷의 시작과 동일한 인증 방법을 사용합니다. 불행히도, 비밀번호는 점점 더 깨지기 쉽다 : 암호 강도는 일반적으로 불충분합니다. 설문 조사에 따르면 10 개의 계정 중 하나가 가장 인기있는 20 가지 비밀번호 중 하나를 사용합니다. "123456"은 계정의 4% 이상으로 사용됩니다. "비밀번호"는 여전히 가장 일반적으로 사용되는 비밀번호 중 하나입니다.
사용자는 여러 웹 사이트에서 동일한 약한 비밀번호를 사용합니다. 해커가 누군가의 Facebook 계정을 헤어지면 PayPal 계정에도 액세스 할 수있을 것입니다. 비밀번호 보안은 사용하는 가장 약한 시스템의 보안에 따라 다릅니다.
• 엔터프라이즈 데이터 유출이 점점 빈번 해지고 주류 미디어의 관심을 끌었습니다. 그것은 사람들을 쉽게 유명하거나 보복하거나 협박하게 만들 수 있습니다. 사이버 테러 행위에 대한 기업은 거의 없으며 종종 "지속적으로 복잡한 공격"이라고 주장했지만 많은 보안 위반은 개발 기술 불량으로 인한 간단한 SQL 주입입니다. 코딩 관점에서 인증은 번거롭고 오류가 발생하기 쉽습니다. 자격 증명을 확인하는 것은 문제의 시작일뿐입니다. 보안 취약점이 없는지 확인해야합니다. 강력한 (그리고 느리게) 알고리즘을 사용하여 해시 문자열 해시가 잊혀지지 않은 비밀번호를 재설정하고 그렇지 않은 비밀번호에 답할 수 있습니다. 혼란스러운 사용자가 전화를 지원하는 짧은 문자열을 올바르게 기억하는 것 같습니다. 바이오 메트릭 또는 OAUTH와 같은 다른 솔루션은 하드웨어 또는 적절한 소셜 미디어 계정에 의존합니다. 웹 사이트가 잘 구현되는 것은 거의 없지만 일부 사용자의 이메일/비밀번호 방법으로 복원해야합니다.
• 비밀번호가없는 인증은 대부분의 사용자가 안전한 개인 커뮤니케이션 계정 (예 : 이메일 및 문자 메시지)을 가지고있을 때 비밀번호가 불필요하다는 전제 조건입니다. 응용 프로그램은 이러한 시스템을 활용할 수 있습니다
  사용자는 웹 사이트를 방문하여 ID (예 : 이메일 주소)를 입력하여 로그인합니다.
  1. 시스템은 사용자에게 링크가 포함 된 메시지를 보냅니다.
  다시 말해, 응용 프로그램은 임의의 일회성 비밀번호를 생성하고 액세스가 필요한 경우 사용자에게 조용히 알려줍니다. 이것은 비밀번호를 재설정하는 프로세스와 유사합니다. 많은 사용자가 로그인 할 때 마다이 작업을 수행합니다! 이메일은 분명한 선택이지만 SMS, Slack, Skype, Instant 메시지 및 Twitter 직접 메시지와 같은 다른 메시징 서비스를 사용할 수 있습니다. 단일 시스템에 의존하지 않으려면 여러 옵션이 있습니다. 무대 뒤에서, 한 사람 만 로그인 링크를 사용할 수 있는지 확인하는 것이 조금 더 복잡 할 것입니다. 일반적인 과정은 다음과 같습니다.

  서버는 이메일 주소가있는 계정이 존재하는지 확인합니다.

  서버는 2 개의 토큰 (예 : 24-arcatter 16 진수 가이드)을 생성 하고이 로그인 시도 와이 두 토큰을 연관시킵니다. 첫 번째 토큰은 로그인 장치 (일반적으로 브라우저 쿠키)로 다시 전송됩니다. 두 번째 토큰은 이메일을 통해 사용자에게 전송 된 링크로 인코딩됩니다.

  링크를 클릭 할 때 서버는 두 개의 토큰을 수신하고 단일 로그인 시도를 기반으로 검증합니다. 링크를 몇 분 안에 클릭하고 IP 주소 및 브라우저 사용자 에이전트 문자열이 변경되지 않았는지 확인하기 위해 추가 점검을 수행 할 수 있습니다.

  모든 검증이 전달되면 실제 세션이 시작되고 사용자가 로그인됩니다. 모든 단계가 실패하면 모든 관련 토큰이 유효하지 않습니다.
  암호없는 인증에 대한 적용 가능한 시나리오 : 로그인 시간이 조금 더 길지만 비밀번호 관리자를 사용하는 것과 거의 같습니다! 세션 타임 아웃이 길거나 사용자가 쇼핑 웹 사이트, 소셜 네트워크, 포럼, 발권 시스템 및 컨텐츠 관리 시스템과 같이 가끔 방문 해야하는 응용 프로그램에 비밀번호 인증을 적용 할 수 있습니다. 로그인하려면 다른 시스템이 필요하기 때문에 메시징 시스템에 사용하는 것이 이상하게 보일 것입니다! 보조 인증 프로세스가이를 보완 할 수 있지만 은행이 보안을 위해 AOL에 전적으로 의존하는 것을 원하지 않습니다. 새 응용 프로그램을 작성하는 경우 비밀번호가없는 인증 사용을 고려하십시오. 그러나 기존 응용 프로그램을 업데이트하는 문제 (현재 많은 사용자는 현재 비밀번호가 있습니다). 밤새 새 로그인 프로세스로 전환하는 대신 암호가없는 인증을 병렬로 실행하는 것이 좋습니다. 비밀번호를 재설정 한 사용자에게 옵션으로 제공하고 몇 개월 후에 입양을 평가하여 실행 가능한지 확인하십시오.
• 실용 사례 테스트 :
나는 수백 명의 내부 및 외부 고객에게 고객이 사용하는 새로운 애플리케이션에서 비밀번호가없는 인증을 구현합니다. 사용자 기반의 약 절반은 좋은 IT 기술을 가지고 있으며 매일 액세스하므로 세션은 거의 만료되지 않습니다. 나머지 절반은 주로 한 달에 한두 번 로그인하는 관리자입니다. 많은 사람들이 잘못된 비밀번호를 잊거나 입력합니다. 가장 큰 문제 : 고객은 확신해야합니다. "비밀번호 없음"은 안전하지 않으며 다른 곳에서는 그것을 보지 못한 사람이 거의 없습니다. 운이 좋다 : 고객은이 개념을 이해하는 고도로 숙련 된 프로젝트 관리자를 보유하고 있습니다. 그럼에도 불구하고 실패가 있으면 비밀번호를 추가하는 데 동의합니다. 그 이후로 모든 것이 잘 진행되었습니다. 타사 라이브러리에 의존하기보다는 기술적 인 이유로 내 자신의 구현을 통합해야했습니다. 하루도 채 걸리지 않으며 일반적인 암호 관리, 해싱 및 재설정이 필요하지 않습니다. 가장 큰 이점 : 사용자는 비밀번호가없는 인증을 이해합니다. 프로세스는 간단하지만 모든 단계에서 간단한 지침을 제공하는 것이 가장 좋습니다. 예를 들면 :

로그인 링크 이메일을 보냈습니다. 받지 못한 경우 스팸 폴더를 확인하십시오.

이 링크를 클릭하여 로그인하십시오 ... 동일한 브라우저 에서이 링크를 열 수있는 10 분이 걸립니다.
• 아무도 혼란 스러웠습니다. 아무도 고군분투하지 않았습니다. 아무도 그 시스템을 칭찬하지 않았지만, 사람들은 그 과정을 받아 들였다. 비밀번호 관련 로그인 문제의 수는 수요일에서 주당 4 개로 감소했습니다. 결론 :
나는 비밀번호가없는 인증이 어디에서나 작동한다고 말할 수 없지만 경험은 압도적으로 긍정적입니다. 나는 내 마음을 바꿨다. 이제부터 모든 응용 프로그램은 비밀번호가 없습니다. 일부 고객은 만족하지 못할 수도 있지만 로그인 양식에 가상 비밀번호 상자를 추가하여 무시합니다! 비밀번호가없는 인증을 구현 했습니까? 이것은 좋은 경험입니까, 나쁜 경험입니까?
• (다음은 FAQ 부분이며, 이는 기본적으로 원래 FAQ 컨텐츠와 동일합니다. 문장이 유창함과 의사 원리를 유지하도록 약간 조정)
암호 보이지 않는 인증 (FAQ)에 대한 자주 묻는 질문 :

암호없는 인증의 주요 장점은 무엇입니까? 비밀번호가없는 인증은 보안을 향상시키고 사용자 경험을 향상 시키며 운영 비용을 줄입니다. 비밀번호 관련 보안 취약점 위험을 제거하고 로그인 프로세스를 단순화하며 암호 관리 및 복구에 필요한 시간과 리소스를 줄입니다.

암호가없는 인증은 어떻게 작동합니까? 비밀번호가없는 인증은 사용자가 소유 한 것 (스마트 폰 또는 하드웨어 토큰), 사용자의 ID (지문 또는 얼굴 인식과 같은 생물학적 데이터) 또는 사용자의 동작과 같은 비밀번호 이외의 요소를 사용하여 사용자의 신원을 확인합니다. 행동 생체 인식). 이 시스템은 일회성 코드 또는 사용자의 장치에 링크를 보내거나 생체 인식 데이터를 사용하여 사용자의 신원을 확인합니다.

• 암호가없는 인증이 안전합니까? 비밀번호가없는 인증은 일반적으로 비밀번호 관련 공격 및 취약점의 위험을 제거하기 때문에 기존 비밀번호 기반 인증보다 더 안전합니다. 그러나 다른 보안 조치와 마찬가지로 완전히 완벽하지 않으며 다단계 인증 및 보안 프로토콜과 같은 다른 보안 조치와 함께 사용해야합니다.

암호가없는 인증을 구현하는 데 어떤 어려움이 있습니까? 비밀번호없는 인증 구현은 사용자 수락, 기술적 문제 및 잠재적 보안 위험을 포함한 몇 가지 과제에 직면 할 수 있습니다.

• 모든 유형의 응용 프로그램에 비밀번호가없는 인증을 사용할 수 있습니까? 비밀번호없는 인증은 다양한 응용 프로그램에서 사용할 수 있지만 모든 응용 프로그램이 적용되는 것은 아닙니다. 응용 프로그램은 응용 프로그램, 사용자 기반 및 구현 및 관리에 사용할 수있는 리소스의 보안 요구 사항에 따라 다릅니다. 사용자 편의가 우선 순위이며 데이터 유출 위험이 높은 응용 프로그램에 가장 적합합니다.

암호가없는 인증은 사용자 경험을 어떻게 향상 시킵니까? 비밀번호가없는 인증은 사용자가 복잡한 암호를 기억하고 입력 할 필요가 없음을 제거하여 사용자 경험을 향상시킵니다. 또한 로그인 프로세스를 단순화하여 더 빠르고 편리합니다. 사용자는 더 이상 비밀번호 재설정 프로세스를 거치지 않아도되며, 이는 실망스럽고 시간이 많이 걸릴 수 있습니다.

• 비밀번호 인증과 다중 인증 인증의 차이점은 무엇입니까? 비밀번호가없는 인증은 비밀번호를 사용하지 않고 사용자 ID를 확인하는 방법입니다. 반면에 다중 인 인증은 사용자 ID를 검증하기 위해 둘 이상의 독립적 인 요소를 사용하는 방법입니다. 비밀번호가없는 인증은 다중 요소 인증의 일부로 사용할 수 있으며 그 중 하나에는 비밀번호가 포함되지 않습니다.

• 암호가없는 인증 방법의 몇 가지 예는 무엇입니까? 비밀번호없는 인증 방법의 일부 예로는 생체 인증 (지문 스캔 또는 얼굴 인식과 같은), 하드웨어 토큰, 소프트웨어 토큰 및 모바일 푸시 알림이 포함됩니다. 이러한 방법은 보안을 향상시키기 위해 단독 또는 조합으로 사용할 수 있습니다.

  암호가없는 인증을 구현하는 데 비용이 소요됩니까? 비밀번호없는 인증을 구현하는 비용은 사용자 기반 크기, 기존 시스템의 복잡성 및 선택한 암호가없는 접근 방식을 포함하여 하나의 요소마다 다를 수 있습니다. 선행 투자가 필요할 수 있지만 암호 관리 및 복구에 사용되는 리소스를 줄임으로써 장기적으로 비용을 절약 할 수 있습니다.

• 암호가없는 인증으로 전환하는 방법은 무엇입니까? 암호가없는 인증으로의 전환에는 여러 단계가 포함됩니다. 먼저 보안 요구를 평가하고 올바른 접근 방식을 선택해야합니다. 그런 다음 선택한 방법을 지원하려면 시스템을 업데이트하고 프로세스를 업데이트해야합니다. 마지막으로, 새로운 방법에 대해 사용자에게 교육하고 전환 프로세스를 안내해야합니다. 신뢰할 수있는 보안 제공 업체와 협력하여 원활한 전환을 보장하는 것이 좋습니다.

위 내용은 암호가없는 인증이 작동하는 이유의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!