Passwordless WP: плагин для входа в WordPress с помощью Touch ID или Face ID

На прошлой неделе WP Busters выпустили свой первый плагин под названием Passwordless WP. Этот проект Ильи Золотова, full-stack разработчика, дает возможность пользователям входить на сайты WordPress с помощью Touch ID, Face ID или пин-кода. Цель состоит в том, чтобы сделать доступ к сайту более простым и безопасным.

Илья решил создать плагин после того, как «пробил» свой почтовый адрес в публичной базе данных и нашел свои старые пароли. Он отметил, что теперь использует защищенный браузер без расширений и скриптов для рабочих целей. Также Илья рассказал, что мотивацией для создания плагина стали миллионы ежегодно украденных и скомпрометированных данных.

«Мне нравится такой функционал, и я пользуюсь им каждый день на своем ноутбуке», — отметил Илья. – «Также я использую Touch ID, чтобы не вводить root-пароль в терминале. Это удобно, и ни один сниффер не перехватит мой пароль».

В прошлом году Илья решил проверить, насколько хорошо обрабатывается вход без пароля в браузерах, но был разочарован положением дел. В частности, Safari на iPhone в то время поддерживал только USB-ключи. Илья понял, что технология еще не была готова.

«Летом в новостях Apple я прочел, что аутентификатор платформы будет доступен в iOS 14 и BigSur в Safari, а аутентификация без пароля теперь работает в Chrome. Также Microsoft выпустил поддержку Windows Hello. 2020 – год passwordless-технологий. Супер!»

Затем Илья приступил к разработке первой версии плагина, используя стабильные криптографические библиотеки. Тогда же он создал простой UI. Илья считает, что технология, положенная в основу плагина, будет широко поддерживаться в дальнейшем.

Илья заверил пользователей, что плагин использует быстрый, безопасный и сертифицированный протокол. Он не хранит никаких персональных данных на сервере и не полагается на сторонние сервисы.

«Другие плагины, которые используются SMS или Email для входа, обычно отправляют вам код или ссылку», — рассказал Илья, когда его спросили о том, чем Passwordless WP отличается от других плагинов. – «Все это только усложняет вашу жизнь, поскольку вам нужно делать больше кликов – открывать почту, переходить по ссылке, разблокировать смартфон и т.д. Я предпочитаю вводить пароль через менеджер, который использует мой Touch ID».

Существуют и альтернативные плагины, построенные на той же самой технологии. Как пример, можно назвать WP-WebAuthn – он имеет несколько дополнительных функций и существует уже около 7 месяцев.

Как работает Passwordless WP

Плагин требует HTTPS, кроме случаев, когда он используется в тестовой среде localhost. Ему необходима для запуска версия PHP 7.2+. В остальном он подойдет для любой WordPress-установки. Passwordless-входы обрабатываются на уровне пользователя, т.е. каждый пользователь WordPress должен будет зарегистрировать токен на странице своего профиля.

Процесс очень простой и занимает всего лишь пару минут. На странице регистрации токена пользователям нужно всего лишь нажать кнопку и выбрать метод аутентификации в своей ОС.

Теперь для входа на сайт потребуется лишь щелкнуть по имени пользователя и ввести свой Touch ID или Face ID для входа.

Ниже приведено краткое видео по работе плагина:

Я протестировал плагин в Google Chrome с Windows. Последняя версия – 1.1.6 – показала хорошие результаты. В прошлой версии была проблема с отсутствующим расширением PHP, но автор быстро ее исправил и дал мне свежее обновление, как только я сообщил о баге.

Источник: wptavern.com

Блог про WordPress
Комментарии: 2
  1. Максим

    А для пользователей это будет работать? Чтобы не только админу можно было входить по face id

    1. Дмитрий (автор)

      да, он подходит для всех пользователей. В том числе и для европейцев, которым надо соблюдать GDPR.

Добавить комментарий

Получать новые комментарии по электронной почте.