讓我們一起探索 WordPress 的無密碼登錄,這項技術預示著網路安全的新時代即將到來。
在不遠的將來,傳統密碼可能會逐漸消失。儘管密碼的初衷是提升安全性,但它最終帶來的問題似乎比解決方案還多。
從要求設定高強度密碼,到後來的雙重驗證機制,這些措施都增加了額外的步驟,需要使用者進行不必要的點擊操作,這實在讓人感到煩瑣。
最近,出現了一種新的解決方案,稱為「魔法連結」。這種方法讓使用者輸入帳號,然後透過點擊電子郵件中的連結來登入,而非直接輸入密碼。
雖然這比傳統密碼更安全,因為使用者只需保護好自己的電子郵件帳戶即可,但這種登入方式的效率仍然不夠快速。
WordPress 無密碼登錄
WordPress 因其對普通網路使用者而言的易用性而聞名,但這種便利性往往伴隨著較高的安全風險。儘管您可以利用 iThemes Security 來強制使用高強度密碼,但我們的目標是在確保安全的同時,讓整個過程盡可能地簡單便捷。
簡而言之,iThemes Security 是一個免費增值的安全工具,對於您的 WordPress 專案而言不可或缺。它以外掛程式的形式提供,可以輕鬆增強 WordPress 的安全性。
這是一份獨立的指南,但如果您先閱讀我們的 iThemes Security Pro 評測,將會對您有所幫助。
除了眾多功能外,iThemes Security Pro 還能協助您在 WordPress 網站上部署使用者友善的生物辨識登入功能。因此,您可以將這些功能運用於 Apple(Touch ID、Face ID)、Android(指紋、PIN碼、圖形鎖)和 Windows(Windows Hello)等裝置。
一旦應用此功能,使用者將會在登入頁面看到以下提示:
這為您提供了一種替代的(且更為簡易的)WordPress 網站登入方式。
了解金鑰
這種利用金鑰登入的方法,運用了我們在日常使用的裝置(例如智慧型手機或 MacBook)上已有的本地身分驗證憑證。
這不僅是解鎖 WordPress 最簡單的方式,也是最安全的方式。
舉例來說,您很有可能在遇到偽造的(也就是網路釣魚)WordPress 登入頁面時,不小心提供了自己的帳號和密碼。但是金鑰則沒有這樣的漏洞。
WebAuthn 技術支援金鑰,這是一種利用公鑰和私鑰對進行加密驗證的技術。
公鑰儲存在雲端,而私鑰則儲存在您的本機裝置上。因此,當您在 WordPress 登入頁面上按指紋時,系統會驗證您的身分,並將您導向儀表板。
在這種情況下,您需要保護的僅僅是生物辨識資訊,相較之下,網路犯罪分子更容易透過網路釣魚等方式竊取您的使用者名稱和密碼。
更重要的是,WebAuthn 的開發已獲得 Google、Microsoft、Mozilla 和 Yubico 等領先科技巨頭的參與,這使其更加安全可靠。
總而言之,它安全且可靠。
設定生物辨識登入
雖然這種方法部署了極為複雜的安全性,但實際操作起來卻非常簡單。
首先,您需要訂閱 iThemes Pro。
然後,前往 WordPress 儀表板側邊欄中的「安全」>「設定」。最後,啟用無密碼登入和密碼選項的開關。
如果沒有設定金鑰,系統將允許使用「魔法連結」登入。但如果您啟用了金鑰登入,它將會取代密碼登入,除非您同時啟用了這兩種方式(稍後將詳細說明)。
現在,管理員可以為這種新的登入策略選擇使用者。此選項位於 iThemes Security Pro 儀表板的「使用者群組」部分。
您可以從預定義的使用者類別(管理員、作者、編輯、訂閱者等)中選擇,也可以使用「新建群組」選項建立自訂群組。
接下來,管理員可以對選定的使用者類別強制執行無密碼登入:
值得注意的是,您可以在 iThemes 安全性的「設定」>「登入安全性」選項卡中同時使用這兩種方法(魔法連結和金鑰)。
現在,登入頁面將會提示使用電子郵件魔法連結或使用您的金鑰:
點擊「魔法連結」會將登入郵件發送到註冊的電子郵件地址。但是,除非您先設定金鑰,否則第二種方法會顯示不明錯誤。
使用金鑰
設定生物辨識驗證的第一步是使用「使用您的金鑰登入」按鈕,此按鈕位於「使用您的密碼登入」按鈕下方。
在撰寫本文時,我還沒有找到直接使用無密碼登入 WordPress 的選項。因此,強制執行高強度密碼策略非常重要,因為使用者仍然可以使用弱密碼。您可以在「使用者群組」>「功能」中找到這些選項。此外,您可以在「設定」>「登入安全性」>「密碼需求」中設定密碼期限。
在您定期登入後,系統會提示每位使用者設定金鑰登入。添加金鑰會將您導向基於本機裝置的選項。
例如,系統會將我導向我 Windows 10 電腦上的 Windows Hello。
輸入正確的密碼後,我就可以只使用使用者名稱和 Windows 登入金鑰進行登入。
同樣地,您也可以在 Android(或 iOS)裝置上設定金鑰:
值得注意的是,如果使用者選擇跳過設定選項,系統將不會再次提示。在這種情況下,可以在 WordPress 使用者設定檔部分設定金鑰。
點擊底部的「管理金鑰」,然後點擊「添加金鑰」以開始設定。
未來是無密碼的!
毫無疑問,這就是未來的趨勢。無密碼登入(在 WordPress 中)是目前最安全、最便捷的身分驗證形式。
雖然您必須為每個裝置都設定金鑰,但這項一次性的工作對於日後的所有登入來說都是值得的。
以上就是使用 iThemes Security Pro 設定生物辨識登入的方法。儘管其免費版本的功能也很強大,但我所介紹的功能是其進階方案的一部分。您可以放心訂閱,因為他們提供退款保證。
PS:備份對於任何網站都至關重要,WordPress 專案也不例外。不妨了解如何使用另一個 iThemes 產品——Backupbuddy 來進行備份。