На прошлой неделе WP Busters выпустил свой первый плагин под названием Passwordless WP . Это проект разработчика полного цикла Ильи Золотова, который позволяет конечным пользователям входить на свои веб-сайты WordPress через Touch ID, Face ID или пин-код. Цель состоит в том, чтобы сделать доступ к сайту более простым и безопасным.
Золотов создал плагин, проверив свою электронную почту в общедоступной базе данных и обнаружив старые пароли. Он сказал, что теперь использует безопасный браузер для рабочих целей без расширений и скриптов. Он также сказал, что миллионы украденных или скомпрометированных учетных данных каждый год были мотивом для создания плагина.
«Мне нравится эта функция моего ноутбука, и я использую ее каждый день», – сказал он. «Кроме того, я использую его, чтобы не вводить пароль root в терминале пальцем, это удобно, и любой сниффер не может перехватить мой пароль».
В прошлом году он решил проверить поддержку браузера для обработки входа в систему без пароля, но был разочарован тем, что Safari на iPhone в то время поддерживал только внешние USB-ключи. Он пришел к выводу, что технология еще не готова.
«В летних новостях Apple я увидел обновление: аутентификатор платформы будет доступен в iOS 14 и BigSur в Safari, а аутентификация без пароля теперь работает в Chrome. Также Microsoft выпустит поддержку Windows Hello. 2020 год – год без пароля. Потрясающие!”
Затем он начал работу над первой версией, используя стабильные криптографические библиотеки и создавая простой пользовательский интерфейс. Он считает, что технология, которая позволяет этому плагину работать, отныне будет широко поддерживаться.
Золотов заверяет пользователей, что это быстрый, безопасный и сертифицированный протокол. Плагин не хранит никаких личных данных на сервере и не ссылается на сторонние сервисы.
«Другие плагины, которые используют SMS или электронную почту для входа, отправки кода или ссылки», – сказал он, когда его спросили о том, чем Passwordless WP отличается от аналогичных плагинов. «Они усложняют вашу жизнь, потому что вам нужно делать больше кликов – открывать электронную почту и ссылку, разблокировать телефон и т. д. Я предпочитаю вводить пароль с помощью моего менеджера, который использует мой Touch ID».
Существуют и другие плагины, использующие ту же технологию. WP-WebAuthn , например, имеет несколько дополнительных функций и существует уже около семи месяцев.
Как работает WP без пароля
Плагин требует HTTPS, если он не используется в тестовой среде localhost. Он также имеет минимальные требования PHP 7.2. В остальном он будет работать для любой установки WordPress. Вход в систему без пароля осуществляется на уровне пользователя, что означает, что каждый пользователь на сайте WordPress должен зарегистрировать токен со страницы своего профиля.
Процесс прост и занимает всего несколько минут. Оказавшись на экране регистрации токена, пользователям просто нужно нажать кнопку и выбрать метод аутентификации в своей операционной системе.
С этого момента при входе на сайт достаточно просто щелкнуть имя пользователя и использовать свой Touch ID или Face ID для входа.
Мой опыт работы с Google Chrome в Windows. Последняя версия, версия 1.1.6, работает хорошо. У предыдущей версии была проблема с отсутствующим расширением PHP при тестировании, но автор плагина быстро исправил ее и отправил обновление, как только я уведомил его о проблеме.
