什麼是無密碼 (Passwordless)?
在常用說法中,「無密碼」是「無密碼認證 (Passwordless Authentication)」的簡稱。
用戶可以提供進行認證的信息主要可分為三種類型:
- 用戶知道的某些東西,例如密碼、密碼恢復問題和答案(通常這些問題和答案基於個人的過去經驗)。
- 用戶擁有的某些東西,如手機、一次性密碼 (OTP) 或硬體令牌。
- 用戶是什麼樣的人,例如指紋、面部識別和其他生物特徵識別。
無密碼認證 (Passwordless Authentication) 是一種認證方法,允許用戶在不輸入(或記住)密碼或任何其他知識型秘密的情況下登錄計算機系統。在最常見的實現中,用戶需要輸入他們的用戶標識符(用戶名、電子郵件地址、電話號碼等),然後通過其他方式提供安全的身份證明來完成認證過程。
為什麼使用無密碼認證 (Passwordless Authentication)?
雖然密碼的使用逐漸減少,但它們仍然在全球廣泛使用。主要原因是基於密碼的系統是最簡單和最便宜的實施方式。
此外,密碼是數據洩露的主要原因。為了便於記憶,許多人在密碼中使用固定模式,例如使用生日或在純數字密碼中使用數字鍵盤的字母組合。這使得破解密碼變得更加容易。實際上,許多人在不知不覺中在多個平台上使用相同的密碼,進一步增加了密碼被破解的風險。
最後但同樣重要的是,密碼對用戶來說是一種麻煩:它們難以記住且管理起來很繁瑣。為了避免在所有場景中使用統一密碼,用戶需要專用工具來記錄各種密碼。此外,由於密碼在不同地方使用,用戶可能需要不斷查找它們。這對密碼的使用帶來了顯著的不便。
另一方面,像生物特徵識別或 OTP 這樣的無密碼技術非常方便且用戶友好。理想情況下,用戶可以隨時隨地立即使用其生物特徵進行認證。在當今手機不可或缺的世界中,所有與「用戶擁有的某些東西」相關的驗證通常都可以通過手機完成。
無密碼認證 (Passwordless Authentication) 與多因素認證 (MFA) 有何不同?
無密碼認證 (Passwordless Authentication) 和多因素認證 (MFA) 有時在相似的背景下被提及。因此,有必要分別定義這兩個術語並了解它們之間的區別:
- 無密碼認證 (Passwordless Authentication) 用其他因素替代基於密碼的認證。
- MFA 指使用兩個或多個認證因素來驗證用戶的身份。
「因素」正是我們之前提到的三種類型的授權信息。例如,如果用戶在認證過程中僅使用電子郵件地址 + OTP,這是一個與「用戶擁有的某些東西」相關的因素,我們可以認為用戶的認證是無密碼的。
常見的 MFA 實現包括使用第二個(無密碼的)認證因素來加強密碼,但 MFA 也可以完全是無密碼的。例如,一個應用可以使用指紋作為第一個認證因素,電子郵件地址 + OTP 作為第二個認證因素。
無密碼與單一登錄 (SSO) 有什麼區別?
基於之前對無密碼的定義,單一登錄 (SSO) 是一種無密碼的方法(用戶擁有 SSO 提供者的賬戶)。
此外,SSO 提供者賬戶通常具有很高的安全性。除了用戶名和密碼外,大多數情況下還需要強制性的多因素認證 (MFA) 以確保用戶對賬戶的完全控制。MFA 通常涉及使用無密碼因素驗證,包括但不限於通行密鑰 (Passkeys)、OTP 和指紋。