На прошлой неделе WP Busters выпустили свой первый плагин под названием Passwordless WP. Этот проект Ильи Золотова, full-stack разработчика, дает возможность пользователям входить на сайты WordPress с помощью Touch ID, Face ID или пин-кода. Цель состоит в том, чтобы сделать доступ к сайту более простым и безопасным.
Илья решил создать плагин после того, как «пробил» свой почтовый адрес в публичной базе данных и нашел свои старые пароли. Он отметил, что теперь использует защищенный браузер без расширений и скриптов для рабочих целей. Также Илья рассказал, что мотивацией для создания плагина стали миллионы ежегодно украденных и скомпрометированных данных.
«Мне нравится такой функционал, и я пользуюсь им каждый день на своем ноутбуке», – отметил Илья. – «Также я использую Touch ID, чтобы не вводить root-пароль в терминале. Это удобно, и ни один сниффер не перехватит мой пароль».
В прошлом году Илья решил проверить, насколько хорошо обрабатывается вход без пароля в браузерах, но был разочарован положением дел. В частности, Safari на iPhone в то время поддерживал только USB-ключи. Илья понял, что технология еще не была готова.
«Летом в новостях Apple я прочел, что аутентификатор платформы будет доступен в iOS 14 и BigSur в Safari, а аутентификация без пароля теперь работает в Chrome. Также Microsoft выпустил поддержку Windows Hello. 2020 – год passwordless-технологий. Супер!»
Затем Илья приступил к разработке первой версии плагина, используя стабильные криптографические библиотеки. Тогда же он создал простой UI. Илья считает, что технология, положенная в основу плагина, будет широко поддерживаться в дальнейшем.
Илья заверил пользователей, что плагин использует быстрый, безопасный и сертифицированный протокол. Он не хранит никаких персональных данных на сервере и не полагается на сторонние сервисы.
«Другие плагины, которые используются SMS или Email для входа, обычно отправляют вам код или ссылку», – рассказал Илья, когда его спросили о том, чем Passwordless WP отличается от других плагинов. – «Все это только усложняет вашу жизнь, поскольку вам нужно делать больше кликов – открывать почту, переходить по ссылке, разблокировать смартфон и т.д. Я предпочитаю вводить пароль через менеджер, который использует мой Touch ID».
Существуют и альтернативные плагины, построенные на той же самой технологии. Как пример, можно назвать WP-WebAuthn – он имеет несколько дополнительных функций и существует уже около 7 месяцев.
Как работает Passwordless WP
Плагин требует HTTPS, кроме случаев, когда он используется в тестовой среде localhost. Ему необходима для запуска версия PHP 7.2+. В остальном он подойдет для любой WordPress-установки. Passwordless-входы обрабатываются на уровне пользователя, т.е. каждый пользователь WordPress должен будет зарегистрировать токен на странице своего профиля.
Процесс очень простой и занимает всего лишь пару минут. На странице регистрации токена пользователям нужно всего лишь нажать кнопку и выбрать метод аутентификации в своей ОС.
Теперь для входа на сайт потребуется лишь щелкнуть по имени пользователя и ввести свой Touch ID или Face ID для входа.
Ниже приведено краткое видео по работе плагина:
Я протестировал плагин в Google Chrome с Windows. Последняя версия – 1.1.6 – показала хорошие результаты. В прошлой версии была проблема с отсутствующим расширением PHP, но автор быстро ее исправил и дал мне свежее обновление, как только я сообщил о баге.
Источник: wptavern.com