Ove tehnike su predvodnice uzbudljive budućnosti autentifikacije koja ne zahteva lozinke. Autentifikacija korisnika je izuzetno važna za svaku poslovnu aplikaciju. Mora biti izuzetno sigurna, ali ujedno i jednostavna za korišćenje kako bi se postigla ravnoteža između bezbednosti i zadovoljstva korisnika.
Od samih početaka interneta, lozinke su bile glavni mehanizam za autentifikaciju. Počelo je s jednostavnim nizovima kao što su „1234“ ili „qwerty,“ koji su bili dovoljni dok sajber kriminalci nisu počeli da ih zloupotrebljavaju. Potom su se pojavili menadžeri lozinki, koji generišu i čuvaju kompleksne lozinke radi sigurnije prijave. Međutim, ljudi i dalje izbegavaju takve alate zbog različitih razloga.
Izvor: statistica.com
Stoga je bilo potrebno pronaći nešto jednostavnije, a istovremeno sigurnije rešenje. Dobrodošli u svet autentifikacije bez lozinke! Ovo je savremena i znatno sigurnija alternativa lozinkama. Jednostavna je za upotrebu i pruža bolje korisničko iskustvo.
Na primer, Apple Face ID je sjajan primer autentifikacije bez lozinke. Slično tome, biometrijska autentifikacija i jednokratne lozinke takođe spadaju u ovu kategoriju. Postoji mnogo drugih tehnika, uključujući i magične veze.
Šta su to magične veze?
Magične veze su rešenja gde korisnici unose svoje korisničko ime i dobijaju link na povezani email nalog. Klikom na taj link, korisnik se automatski prijavljuje.
U idealnom svetu gde email funkcioniše besprekorno i sve platforme koriste autentifikaciju putem magičnih linkova, korisnici bi morali da pamte samo jednu lozinku – onu za svoj email nalog. O svemu ostalom bi se pobrinule magične veze. To je neizmerno praktičnije sa stanovišta korisnika. Osim toga, ovim se pokušaji hakovanja lozinki čine beskorisnim i irelevantnim.
U nastavku slede alati koji vam mogu pomoći da integrirate magične veze u svoju aplikaciju:
Stitch
Najbolja stvar kod Stitch-a je jednostavna implementacija i besplatan plan za početak.
Postoje dva načina za integraciju magičnih veza sa Stitch-om: API i SDK-ovi.
Trenutno, Stitch SDK-ovi su dostupni za JavaScript, React i Next. Ovo je najbrži način da se počne sa radom. Dobijate gotov korisnički interfejs koji možete prilagoditi svom brendu. Stitch API, sa druge strane, daje vam potpunu kontrolu nad dizajnom.
Besplatan plan je dobar za 5000 aktivnih korisnika mesečno (MAU); nakon toga se plaća po principu korišćenja. Plaćene pretplate nude više opcija za prilagođavanje dizajna i uklanjanje Stitch brendiranja.
FusionAuth
FusionAuth takođe nudi sopstveni interfejs koji zahteva minimalan unos, kao i API bez lozinke za potpunu fleksibilnost. Magične veze šalju vremenski ograničen kod koji korisnik treba da unese u formular za prijavu kako bi nastavio. Međutim, API vam omogućava da pošaljete ovaj kod putem SMS-a ili push obaveštenja za još jednostavnije iskustvo. Osim toga, FusionAuth nudi i Google One Tap autentifikaciju, koja automatski detektuje aktivne Google naloge u pregledaču i omogućava korisniku da se prijavi jednim klikom.
FusionAuth nudi dva modela pretplate na osnovu hostinga. Možete koristiti samostalni hosting, koji uključuje besplatan plan za zajednicu bez ograničenja na mesečne aktivne korisnike. Nažalost, cloud hosting nema besplatne planove za početak, ali možete uzeti 14-dnevnu besplatnu probnu verziju osnovnog plana.
WorkOS
WorkOS ima SDK-ove na brojnim programskim jezicima, uključujući Node.js, Ruby, Python, Java, .Net itd., što olakšava početak. Možete koristiti WorkOS API ili prilagođenog email provajdera za slanje email poruka za autentifikaciju sa magičnom vezom. Takve jednokratne veze važe 15 minuta. WorkOS nudi mnoge email šablone koje možete prilagoditi svom brendu. Možete početi besplatno, bez plaćanja unapred.
MojoAuth
Sa gotovim integracijama za platforme kao što su WordPress, Webflow i Bubble, MojoAuth nudi izuzetno brzu implementaciju magičnih veza. SDK-ovi su dostupni za različite jezike i platforme, poput Node.js, Java, Android, Golang, iOS, PHP i Asp.net. Pored toga, API je namenjen programerima za prilagođavanje aplikacija u skladu sa specifičnim potrebama. MojoAuth omogućava i korišćenje magičnih veza u okviru višefaktorske autentifikacije (MFA).
Najveća prednost MojoAuth-a je korisnički interfejs bez brendiranja i garancija dostupnosti sistema od 99,9%. Osnovni plan počinje sa 1000 MAU, a svi planovi dolaze sa funkcijama kao što su neograničen broj korisnika, neograničen broj prijava, OTP email poruke, upravljanje timom itd. Iako ne postoji besplatan plan, možete iskoristiti 30-dnevnu besplatnu probnu verziju.
Supabase
Supabase je alat otvorenog koda za upravljanje autentifikacijom putem magičnih veza. Postoje dva načina da ga implementirate: ili da direktno dodate autentifikaciju bez lozinke u Supabase projekte kao PostgreSQL bazu podataka, ili da ugradite kod za prijavu u njihove aplikacije u JavaScript ili Flutter. Što se tiče cena, možete početi besplatno sa do 50.000 MAU i 200 istovremenih veza. Plaćeni planovi nude dodatne funkcije kao što su podrška putem email-a, dnevne sigurnosne kopije, 7-dnevno zadržavanje zapisa i veća propusnost.
Clerk
Clerk garantuje vrhunsku funkcionalnost magičnih veza, implementiranu za nekoliko minuta. Autentifikacija putem magičnih veza uključuje preusmeravanje sa jednokratnim lozinkama (OTP). Magične veze se mogu koristiti i u MFA procesima. Clerk API je dostupan za Next.js, React i JavaScript. Možete koristiti njegovu magičnu autentifikaciju za registraciju, prijavu i verifikaciju email adrese. Besplatan plan nudi 5000 MAU, neograničen broj naloga, prilagođene domene i podršku zajednice sa sopstvenim brendom. Plaćeni planovi nude neograničen broj MAU, prilagođene domene, dozvolu za kreiranje crne/bele liste, MFA, prilagođeno trajanje sesije i druge opcije.
Descope
Descope magične veze omogućavaju korišćenje URL-ova za prijavu i OTP-ova, uz besplatan nivo koji omogućava do 7.500 MAU za start. Implementacija je laka zahvaljujući fleksibilnim opcijama kao što su SDK-ovi, API i tokovi. Descope Flows je interfejs sa opcijom prevlačenja i ispuštanja, što vam omogućava da kreirate odgovore na interakcije korisnika bez korišćenja koda. Dolazi sa alatom za kreiranje tokova, kreiranje ekrana i prilagođavanje dizajna i predstavlja najbrži način za početak. Osim toga, SDK-ovi nude dve opcije, klijentske i backend SDK-ove, u zavisnosti od toga da li želite da Descope upravlja sesijom ili da integrišete sopstveni server u Descope usluge. Njihovi REST API-ji su namenjeni naprednim slučajevima upotrebe sa vrhunskom fleksibilnošću. Kod Descope-a je sjajno to što nema vodenog žiga na besplatnom nivou, koji dolazi sa 99% SLA, što ga čini dobrom opcijom za svaki startup.
EZID
Trenutno je EZID najpogodniji za programere koji žele da primene magičnu autentifikaciju u svojim aplikacijama. Možete koristiti njihove API-je za kreiranje tokova autentifikacije na način na koji želite. EZID nema besplatan nivo. Njihov osnovni plan omogućava do 500 MAU-a i uključuje brendiranje kompanije. Tek sa naprednijim paketima možete ukloniti EZID brendiranje sa korisničkog interfejsa. Pozitivna stvar je plaćanje po narudžbini, bez ograničenja broja prijava.
Zaključak
Ako možete obezbediti odličnu isporuku email poruka, nema razloga da izbegavate autentifikaciju putem magičnih veza. One su brza i jednostavna zamena za lozinke. Ipak, treba izbegavati korišćenje OTP-ova u email porukama sa magičnim vezama, jer to poništava njihovu svrhu. Jedan link na koji se klikne i koji prijavljuje korisnika je idealna opcija.
To bi bilo sve sa moje strane. Do sledećeg puta!
PS: Pogledajte sveobuhvatan vodič za višefaktorsku autentifikaciju.