Passwordless Login – logowanie bez hasła

Passwordless Login

Koncepcja logowania bez użycia hasła nie jest nowa, a jej implementacji jest co najmniej kilka. Idea wszelkiego rodzaju jednorazowych kodów nie jest idealna, ponieważ taki kod to tak naprawdę kolejne hasło – trudne (jeśli nie niemożliwe) do złamania, ale wciąż wymagające wprowadzenia do formularza logowania. Znacznie lepszym (a raczej wygodniejszym) sposobem jest wysyłanie na powiązany z kontem adres e-mail specjalnego linku, po kliknięciu którego zostaniemy automatycznie zalogowani w serwisie. Link ten jest za każdym razem inny, a jego ważność jest stosunkowo krótka. I takie właśnie podejście postanowił wcielić w życie Cristian Antohe, który stworzył wtyczkę Passwordless Login dla WordPressa.

Sama idea jest zaczerpnięta z projektu Persona, którego (jak większości projektów Mozilli) nie udało się spopularyzować. Istnieje nawet wtyczka dla WordPressa, pozwalająca na logowanie za pośrednictwem konta Persona, ale jeśli spojrzymy na liczbę jej pobrań, to wychodzi na to, że nie jest ona ani trochę popularna.

Nie sądzę, że opisywana tu wtyczka jest lepsza i że rozpocznie jakąś rewolucję, ale na pewno jest wartą zainteresowania ciekawostką, która jednym po prostu ułatwi życie, a innych być może zachęci do rozwinięcia tej koncepcji i przyczynienia się do ostatecznej śmierci haseł (na co osobiście czekam z utęsknieniem i co prędzej czy później musi nastąpić).

Rozszerzenie nie jest w tej chwili dostępne w oficjalnym repozytorium – trzeba je pobrać z serwisu Bitbucket, a następnie ręcznie zainstalować ściągnięty plik ZIP (Wtyczki → Dodaj nową → Wyślij wtyczkę na serwer).

Passwordless Login - formularzWtyczka nie jest idealna. Przede wszystkim nie integruje się w żaden sposób z domyślnym formularzem logowania. Aby móc zalogować się podając tylko swój login lub adres e-mail należy w dowolnym miejscu strony lub w widżecie umieścić shortcode [passwordless-login], który wyświetli formularz logowania. Po wprowadzeniu loginu lub adresu e-mail powiązanego z naszym kontem w serwisie i kliknięciu przycisku Zaloguj się otrzymamy wiadomość ze specjalnym linkiem, po kliknięciu którego zostaniemy automatycznie zalogowani na stronie. I to tyle – to naprawdę jest aż tak proste.

Ale po co to wszystko? Dla wygody i (co ważniejsze) bezpieczeństwa. Znaczna większość osób używa tych samych haseł do wielu kont w różnych serwisach. Spora część z tych haseł jest bardzo prosta, często również podatna na ataki słownikowe, a w drastycznych przypadkach zapisywana otwartym tekstem w łatwo dostępnych miejscach. Główną ideą tego typu projektów jest całkowite wyeliminowanie haseł z procesu uwierzytelniania użytkownika.

Koncepcja wysyłania jednorazowego linku do logowania na adres e-mail użytkownika ma tę zaletę, że użytkownik ten i tak korzysta z poczty elektronicznej i prawdopodobnie jest do niej cały czas zalogowany (czy to w przeglądarce, czy też w aplikacji pocztowej). Tak więc zamiast osobnego hasła do każdego serwisu wystarczyłoby mu w praktyce jedno silne hasło do konta pocztowego. I życie stałoby się łatwiejsze.

Bezpośredni link