パスワードレス接続とパスワードレスログインの比較
パスワードレス接続は、既存のデータベース接続、ソーシャル接続、エンタープライズ接続とは異なるタイプの接続です。Auth0ユーザーデータベースまたはソーシャルプロバイダーのユーザーが同じメールアドレスを共有していても、パスワードレス接続に関連付けられるIDが独立しています。パスワードレス接続で複数のメールアドレスまたは携帯電話番号をリンクする場合と同様に、アカウントをリンクして、パスワードレスIDを他の種類の接続のIDと関連付けることもできます。Auth0 Dashboardではパスワードレスユーザーを作成できません。サインアップを無効にしている場合は、Management APIを使って直接作成してください。 [Connection(接続)] フィールドで、メールアドレスを使用するパスワードレスユーザーには メールアドレス 、携帯電話番号を使用するパスワードレスユーザーにはSMSを指定します。
メリット
パスワードレス認証を使用する利点は以下の通りです。- ユーザーエクスペリエンスの向上。ユーザーはメールアドレスまたは携帯電話番号のみでサインアップできる。
- セキュリティの強化。パスワードは、ユーザーがパスワードを再利用し、他人と共有できるため、大きな脆弱性の1つです。パスワードは最大の攻撃ベクターであり、多くの侵害の原因となっています。また、資格情報スタッフィング、企業アカウントの乗っ取り、総当たり攻撃などの攻撃にもつながります。
- 総所有コストの削減。パスワードの管理には、パスワードの複雑性ポリシーの実装、パスワードの有効期限とパスワードのリセットプロセスの管理、パスワードのハッシュ化と保管、パスワードの漏洩検出の監視が絡んでくるため、コストがかさみます。
対応している認証方法
Auth0パスワードレス接続は、SMSまたはメールで送信されるOTP、およびメールで送信されるメールマジックリンクをサポートしています。SMS
SMSでパスワードレス認証を使用する場合、ユーザーは以下の手順を行います。- ユーザー名/パスワードの組み合わせの代わりに携帯電話番号を提供する。
- SMSでOTPを受け取る。
- ログイン画面でOTPを入力し、アプリケーションにアクセスする。
メール
メールでパスワードレス認証を使用する場合、ユーザーは以下の手順を行います。- ユーザー名/パスワードの組み合わせの代わりにメールアドレスを提供する。
- パスワードレス接続の構成に応じて、メールでOTPまたはメールマジックリンクを受け取る。
- ログイン画面でOTPを入力し(またはメール内のメールマジックリンクを開き)、アプリケーションにアクセスする。
パスワードレスを実装する
パスワードレスを実装するには、以下の2つの重要な要素を決定する必要があります。- サポートする認証要素
- 使用するログインタイプ