今日、インターネット上のほとんどすべてのサイトは、古くから実績のあるメール登録/認証スキームを使用しています。 このようなスキームは常に完全に機能し、今日まで機能し続けていますが、インターネットユーザーをメールサービスに依存させているため、多くの欠点があります。
便利さ
- 原則として、現在、すべてのインターネットユーザーは複数の電子メールアドレス(個人、仕事、忘れたものなど)を持っています。 すべてのアドレスが8文字から異なるパスワードを持っていることが望ましいです。 特にパスワードがブラウザに保存され、メールを入力すると、パスワードは自動的に入力されます。
- 多くの人は、何らかのリソースにアクセスして必要な情報を取得するために、屈辱的な登録手順を実行し、メールにアクセスして理解できない文字で構成される怖いリンクをクリックしてメールを確認する必要がある状況に遭遇したと思います。 その後、ごみはサブスクリプションの形でボックスに注がれ始め、登録中に同意したか、または通常のスパムでさえも同意しました。
- 各リソースで異なるパスワードを使用することもお勧めします。 ユーザーがお気に入りのリソースにログインできない場合は、パスワード回復のための次の手順を実行する必要があります。メールに移動します(職場などからログインする場合はメールのパスワードを忘れないでください)。そのサイトの新しいパスワードを再度作成します。 それはその後、再び忘れられます。
- メールボックスは、登録されているリソースからの通知、プロモーション、オファー、その他の広告のダンプになります。 このうち、たとえば重要な手紙に気付かないかもしれません。 はい、気を散らすだけです!
安全性
- メールボックスを使用する無責任なアプローチにより、メールボックスからパスワードが漏洩する可能性があります。
- フィッシングメールは、腐敗したメールを偽装したリソースからパスワードリークを引き起こす可能性があります
- 電子メールは、インターネット上のパスポートのようなものです。オープンソースから特定の情報を収集し、さまざまな目的に使用するために使用できます。
- 電子メールにアクセスできると、ユーザーが座っているすべてのリソースや他の電子メールアドレスにアクセスできます
- メールサービスと広告会社はあなたの人生に関するすべてを知っています
残念ながら、実装の点でも使用の点でも、そのような人気のあるシンプルで便利な代替手段はありません。 あらゆる種類の「オープンエントリテクノロジー」があり、多少便利ですが、メールアドレスも必要であり、多くの欠点もあります。
要点をつかむ
この最も古い方法の代替/追加として、最新のインスタントメッセンジャーを使用した認証方法を見てみたいと思います。 どこでも使用されている形での登録は原則として消滅します。
現時点では、Telegramはあらゆる点でこのタスクに適しています。 しかし、彼だけではありません。 同じ成功を収めて、他のメッセンジャー用のボットを作成できます。 回路は非常に簡単です!
アカウントを持っていないサイトにアクセスしたユーザーは、このサイトのボットを自分のテレグラムに追加し、アクセスを要求する必要があります(たとえば、[パスワードを与える]ボタンをクリックして)。問題のボタン、画面を適用します。
例として、次のようなワンタイムパスワードスキームを実装しました。
ボットは、要求に応じて入力するワンタイムパスワードを生成します。
サイトに入るには、「パスワード」という1つのフィールドのみを入力する必要があります
このスキームでは、生成されたパスワードは常に一意であり、1人のTelegramユーザーのみに属します。また、パスワードは限られた時間だけ有効であり、ログイン後に破棄されます。
このようなスキームを使用すると、手紙を待って登録手順を実行する必要がありません。 また、パスワードを覚えておく必要もありません。 思いやりのあるボットは、常にそれを思い出させます。
このアプローチの便利さは、Telegramがすべてのプラットフォームで利用可能であり、ボットを検索する必要がないという事実にあります。認証フォームに示されているリンクをたどるだけです。 ライブの様子は、
https :
//x07.herokuapp.com/loginで確認できます
。もちろん、このスキームは、より実用的で信頼性が高く安全です。
セキュリティを強化し、パスワードを短縮するために、ボットを少し賢くすることができます。ボットが何かを疑う場合、それをあなたの場所に送信するように要求します(Telegramはこれをサポートします)、そしてバックエンドはあなたが送信したものと入力がどこから来たかを分析しますサイトへ。
Telegramが手元にない場合、Telegramが突然利用できない場合、または毎回そこに行きたくない場合は、常に入力できるパスワードを使用してデータベースにフィールドを作成できます。 同時に、思いやりのあるボットに、パスワードを要求しなかった場合にサイトへのエントリを通知するように教えることができます。
さらに、Telegramまたは他の任意のフィールドで使用される名前、少なくとも同じ電子メールを追加することもできます。
単純なパスワードクラッキングに対する保護として、ほとんどのサイトで行われているように(解析できない)captchaをねじ込むことはできませんが、ボットに入力の確認を求める通知を送信するように教えます。
膨大な数の実装オプションを思いつくことができます。
このアプローチの利点:
- サイトで長く屈辱的な登録手順を実行する必要はありません。その後、メールボックスに登って、パスワードまたは登録確認へのリンクがある文字を探します。
- パスワードを覚える必要はありません。パスワードは常にリクエストに応じて新しく生成されます!
- メールよりも安全です!
- Telegramは積極的に開発し、安定して動作しています!
- 携帯電話を所持しないとパスワードを盗まれない
- ユーザーのモバイルに関しては、Web経由でTelegramにアクセスすることも困難です
- Telegramはすべてのプラットフォームで利用可能です
- このアプローチにより、ユーザーはサイトにアクセスしやすくなります。
- feccアカウントからの保護を強化するために電話番号を必要とするリソースの場合、Telegramはすでに携帯電話番号に関連付けられているため、電話番号を入力する必要はありません。 一部の人々は、携帯電話で登録することで怖がっている
- 電話番号は常に秘密にされ、サイトの所有者はアクセスできません
短所、それらなしで...
- スパムはボットを介して送信することもできます
- Telegramサーバーで何が起こっているかは不明です。データを収集して分析することもあります(これはマイナスではないかもしれません)
- 多数のユーザーがいる場合、ボットが存在するサーバーの負荷が増加します
- ある程度、電報に依存しています
- TelegramはAPIを変更または拡張できます。これにより、サイトはユーザーに関する詳細情報を抽出でき、逆もまた同様です。
これについてどう思いますか? この認証方法をプロジェクトに実装しますか?