Come implementare l'autenticazione senza password in un sito web

In quasi tutti i casi in cui fai clic su "ricordami", ciò sta già accadendo sul tuo computer. Una stringa casuale di caratteri è memorizzata in un cookie e collegata al tuo account. Il motivo per cui più di questo è richiesto ha a che fare con la mobilità. Se cambi computer, come accedi di nuovo senza il nome utente / password standard? Gli utenti semplicemente non accettano i loro cookie con loro.

Nel caso del suggerimento di posta elettronica, è possibile inviare un codice casuale che può essere inserito in un campo modulo o anche cliccato come collegamento. Per alcuni livelli marginali di maggiore sicurezza, vorrei scadere quei link di clic dopo un po 'e memorizzare un codice casuale diverso come cookie.

Potresti trovare questo documento accademico di interesse: Cerimonie condizionate sicure e uno studio utente di un'applicazione per l'autenticazione Web . Il documento descrive un modo per utilizzare i cookie permanenti sicuri per l'autenticazione e per consentire alle persone di registrare una nuova macchina utilizzando un collegamento e-mail. Non è affatto l'unico modo - è solo un esempio e probabilmente ci sono molti altri modi possibili per fare qualcosa in questo senso.

Ci sono tre modi per autenticare un'identità: basata su ciò che ha (telefono, un dispositivo) o su ciò che conosce (una password, una storia) o, cosa è (la sua impronta digitale, la scansione della mano). L'ultimo è inutilizzabile in un contesto remoto.

Pertanto, la tua domanda riguarda l'utilizzo di un'alternativa a ciò che sai. Vale a dire, per usare quello che hai (di solito a tempo limitato). Questo in genere comporta token o una sola password.

Guarda alcuni di questi: link , link e link .

Sono sicuri quanto avere un telefono (e perderlo). È abbastanza amichevole.

Ho incontrato un processo di autenticazione abbastanza buono e semplice di questo servizio . Usa il numero del tuo cellulare per inviare una sola password tramite SMS.