WordPress采用iThemes生物识别登录无需密码

让我们探索WordPress的免密码登录，这是一个未来所走的全新领域。

密码将在不久的将来消失。它们旨在增强安全性，但最终导致了更多问题而不是解决方案。

它从强密码开始，接着是two-factor authentication，增加了不想应对的额外点击（即工作）。

最近出现了另一种解决方案，称为魔术链接。这将要求您输入用户名并通过电子邮件中的链接打开，而不是输入密码。

虽然这是更安全的方法，因为您只需要保护电子邮件账户并在其他地方利用该安全性，但它不是最快的方法。

WordPress免密码登录

WordPress对于普通互联网用户来说非常简单易用，所有这些简单易用性都伴随着增加的安全风险。虽然您可以通过iThemes Security强制执行强密码，但其目的是使其变得简单而安全。

简而言之，iThemes Security是您的WordPress项目必备的免费安全卫士。它作为一个插件来帮助简化WordPress安全性。

尽管这是一份独立指南，但如果您先阅读我们的iThemes Security Pro review，将会有所帮助。

iThemes Security Pro除了无数其他功能外，还可帮助您在WordPress网站上部署用户友好的生物特征登录。因此，您可以在Apple（Touch ID，Face ID），Android（指纹，PIN，图案）和Windows（Windows Hello）上使用这些功能。

如果应用，用户将在登录URL上看到以下提示：

这为您提供了登录WordPress网站的另一种（简单）方法。

了解访问密钥

通过访问密钥登录的方法使用了我们已经在我们拥有的设备上使用的本地身份验证凭据，比如智能手机或Macbook。

除了是解锁WordPress最简单的方法外，这也是最安全的方法。

例如，您可能会有一丝机会将用户名和密码提供给类似的（即钓鱼）WordPress登录页面。但是使用访问密钥没有这样的漏洞。

访问密钥由WebAuthn支持，它使用公钥和私钥对进行加密身份验证。

公钥存储在云中，而私钥驻留在您的本地设备上。因此，当您在WordPress登录页面上进行指纹识别时，它知道这确实是您，并将您发送到仪表板。

在这种情况下，您需要保护的只是您的生物特征，而不是用户名和密码，后者可以被网络犯罪分子通过钓鱼等手法窃取。

如果有什么改善的话，WebAuthn的开发参与了Google、Microsoft、Mozilla、Yubico等领先的技术巨头。

简而言之，它是安全而强大的。

配置生物特征登录

尽管这种方法部署了极其复杂的安全性，但应用程序是无痛的。

首先，您需要iThemes Pro订阅。

随后，在WordPress仪表板侧边栏的Security > Settings中打开Passwordless Login和Passkeys的开关。

没有Passkeys，登录将允许使用魔术链接。但是，如果您打开了这个选项，将使用Passkeys代替它，除非您同时打开两个选项（稍后在本节中讨论）。

现在管理员为此新登录策略选择用户。此选项位于iThemes Security Pro仪表板的User Groups部分中。

您可以从预定义的用户类别（管理员、作者、编辑、订阅者等）中进行选择，也可以使用New Group选项创建一个自定义批次。

接下来，管理员为选择的用户类别强制执行了无密码登录：

值得注意的是，在iThemes安全性的配置 > 登录安全性选项卡中，您可以同时使用魔术链接和通行密钥。

现在，这将使用电子邮件魔术链接或使用您的通行密钥提示登录URL：

点击魔术链接将向注册的电子邮件地址发送登录邮件。然而，除非您首先设置通行密钥，否则第二种方法将显示未知错误。

使用通行密钥

生物识别身份验证设置的第一步是使用位于“使用您的通行密钥”按钮下方的使用密码登录。

截至撰写本文时，我无法找到仅使用无密码与WordPress登录的选项。因此，强制执行强密码策略非常重要，否则用户仍然可以使用弱密码。您可以在用户 组 > 功能中找到这些选项。此外，密码有效期可以在配置 > 登录安全性 > 密码要求中设置。

一旦正常登录，每个用户都将被提示设置通行密钥登录。添加通行密钥将带您进入基于本地设备的选项。

例如，它将我带到了Windows 10 PC上的Windows Hello。

输入正确的PIN后，我可以只使用用户名和Windows登录PIN登录。

同样，您也可以在Android（或iOS）上设置通行密钥：

值得注意的是，如果用户选择跳过设置选项，这将不会再次提示。在这种情况下，您可以在WordPress用户个人资料部分设置通行密钥。

点击底部的管理通行密钥，然后选择添加通行密钥开始设置。

未来将无需密码！

毫无疑问，这是未来的趋势。无需密码（在WordPress中）是目前最安全、最无麻烦的身份验证形式。

虽然您必须为每个设备设置通行密钥，但这种一次性的工作对于未来的所有登录而言是值得的。

这样就完成了使用 iThemes Security Pro 的生物特征登录。虽然其免费版本不错，但我所介绍的功能是其高级计划的一部分，您可以通过其退款保证无风险订阅。

附言：备份对于任何网站都至关重要，WordPress项目也不例外。查看如何使用另一个 iThemes product–Backupbuddy 进行备份。