什麼是無密碼認證 (Passwordless Authentication)?
無密碼認證 (Passwordless Authentication) 是一種認證方法,允許用戶在不輸入(或記住)密碼或任何其他基於知識的秘密的情況下登入計算機系統。
例如,當你使用指紋或面部識別解鎖智能手機,或當你通過 SMS 接收一次性代碼以登入你的電子郵件帳戶時——這些都是我們日常生活中常見的無密碼認證方法。
無密碼認證 (Passwordless Authentication) 的類型有哪些?
在我們的日常生活中,有幾種常見的無密碼認證類型:
生物識別認證
生物識別認證利用我們獨特的身體特徵進行身份驗證,主要通過指紋掃描、面部識別和虹膜掃描。我們在日常情境中會遇到這些:
- 使用 Face ID 解鎖你的 iPhone 購買咖啡
- 使用指紋登入你的銀行應用
- 使用虹膜掃描儀進入安全設施
魔法鏈接 (Magic Links)
魔法鏈接 (Magic Links) 是發送到你電子郵件的一次性使用鏈接,提供無縫的認證體驗。你會在許多流行服務中找到它們:
- 點擊 Slack 發送到你電子郵件的 “Sign in” 鏈接
- Medium 的 “Sign in with email” 選項會發送給你一個登入鏈接
- Notion 的基於電子郵件的認證系統
查看 魔法連結 (Magic link) 以獲取更多詳細信息。
一次性代碼 (OTP)
一次性代碼 (OTP),通常通過 SMS 或電子郵件發送,是最廣泛使用的無密碼方法之一:
- 接收 6 位數字代碼以登入你的 Google 帳戶
- 獲取在線銀行交易的驗證代碼
- 使用像 Google Authenticator 這樣的認證器應用
查看 一次性密碼 (One-time password, OTP) 以獲取更多詳細信息。
通行密鑰 (Passkeys)
通行密鑰 (Passkeys) 是基於 FIDO 的傳統密碼的安全替代方案,使用先進的加密技術來保護你的帳戶免受網絡釣魚攻擊。以下是它們的工作原理:
- 每個服務唯一:當你註冊一個服務時,你的設備會創建一個與該特定服務域名相關的唯一通行密鑰
- 基於設備:通行密鑰通常存儲在硬件安全模塊中,這些模塊要麼內置於你的設備中,要麼作為單獨的安全密鑰
- 公私鑰對:設備安全地存儲私鑰,同時與服務共享公鑰。這些加密密鑰對就是我們所說的通行密鑰
- 硬件安全:許多通行密鑰受到專用硬件安全模塊的保護,使其極難被破解
- 跨設備同步:通行密鑰可以使用雲存儲安全地在設備之間同步(例如,Apple 的 iCloud Keychain 或 Google Password Manager)
常見使用場景:
- 使用 USB 安全密鑰訪問你的工作筆記本電腦
- 點擊你的手機(作為安全密鑰)登入你的 Google 帳戶
- 連接硬件安全密鑰以訪問高度安全的系統
查看 通行密鑰 (Passkey) 以獲取更多詳細信息。
為什麼使用無密碼認證 (Passwordless Authentication)?
數十年來,密碼一直是默認的認證方法。即使在今天,我們的大多數在線帳戶仍然依賴於密碼。然而,這種傳統方法面臨著越來越多的挑戰,讓我們不禁要問:為什麼我們應該使用無密碼認證?
密碼不夠安全
當公司遭遇數據洩露時,數百萬個密碼可能會一次性暴露。攻擊者可以輕鬆地通過自動化工具利用這些密碼,尤其是當許多用戶在不同服務中重複使用他們的密碼時。例如,如果攻擊者從被攻擊的遊戲網站獲得用戶的密碼,他們可能會使用相同的憑據訪問該用戶的電子郵件或銀行帳戶。
查看這篇博客以了解 你的密碼是如何被破解的? 。
密碼難以使用和管理
想想管理你的在線帳戶:你在不同網站和服務上擁有數十個帳戶,每個帳戶都有自己的密碼要求。即使你嘗試使用一致的密碼,不同的密碼策略也會迫使你添加特殊字符、數字或進行其他變化。一個網站要求至少一個特殊字符,另一個不允許某些符號,第三個要求至少 12 個字符。
當你嘗試登入時,你無法記住你為這個特定網站使用了哪種變體。是以感嘆號結尾的那個嗎?還是帶有 ”@” 符號的那個?在多次嘗試失敗後,你被鎖定,必須再次進行耗時的密碼重置過程。
這種令人沮喪的情況每天在各個組織中上演數百萬次,導致不斷的密碼重置、浪費時間和生產力下降。
無密碼認證 (Passwordless Authentication) 比密碼更安全
想像一下,使用你的指紋或面部識別來訪問你所有的工作應用。由於這些生物識別因素無法像密碼那樣被盜取或猜測,即使攻擊者入侵公司的數據庫,他們也無法利用這些信息冒充用戶。此外,無密碼方法如安全密鑰提供了防止網絡釣魚攻擊的保護,因為它們驗證了用戶和網站的真實性。
無密碼認證 (Passwordless Authentication) 用戶友好
使用無密碼認證,訪問你的帳戶變得像解鎖你的智能手機一樣簡單。
例如,當你在手機上收到推送通知以批准登入嘗試時,你只需輕點或快速查看設備即可進行認證。這種無縫的體驗消除了記住多個密碼的認知負擔,同時保持高安全標準。
無密碼認證 (Passwordless Authentication) 如何運作?
認證通常依賴於三種類型的因素:
- 用戶知道的東西:如密碼或 PIN
- 用戶擁有的東西:如物理設備或令牌
- 用戶是什麼:如生物識別特徵。
無密碼認證遠離傳統的“你知道的東西”方法,而是專注於其他兩個因素。
當使用“你擁有的東西”時,認證過程通常從你的電子郵件地址或電話號碼開始。想像一下你正在登入你的銀行帳戶——而不是輸入密碼,你可能會通過 SMS 或電子郵件接收一次性代碼。或者你可能已經在手機上設置了一個認證應用,該應用會自動生成這些代碼。一些服務甚至會向你的手機發送推送通知,允許你只需輕點“批准”即可登入。對於更高的安全需求,你可能會使用一個插入設備的物理安全密鑰,類似於插入數字鑰匙。
“你是什麼”的方法更為簡單,可能你已經很熟悉。當你使用指紋或通過查看屏幕進行面部識別來解鎖智能手機時,你正在使用生物識別認證。一些系統還使用語音識別,通過說出特定短語來驗證你的身份。這些生物識別因素是你獨有的,並在你的設備上安全地處理。
無密碼認證 (Passwordless Authentication) 和多因素認證 (MFA) 有什麼區別?
無密碼認證 (Passwordless Authentication) 和 多因素認證 (Multi-factor authentication, MFA) 有時會在類似的上下文中提到。因此,有必要分別定義這兩個術語並理解它們之間的區別:
- 無密碼認證用其他因素取代基於密碼的認證。
- MFA 指的是使用兩個或更多的認證因素來驗證用戶的身份。
“因素”嚴格來說是我們之前提到的三種不同類型的授權信息。例如,如果用戶在認證過程中僅使用電子郵件地址 + OTP,這是一個與“用戶擁有的東西”相關的因素,我們可以認為用戶的認證是無密碼的。
常見的 MFA 實現包括使用第二個(無密碼)認證因素來增強密碼,但 MFA 也可以完全無密碼。例如,一個應用可以使用指紋作為第一個認證因素,電子郵件地址 + OTP 作為第二個認證因素。
無密碼認證 (Passwordless Authentication) 和單一登入 (SSO) 有什麼區別?
單一登入 (Single sign-on, SSO) (SSO) 和無密碼認證 (Passwordless Authentication) 是身份管理中的兩個不同概念:
- SSO 是關於集中用戶認證,允許用戶使用單一登入訪問多個應用
- 無密碼認證專注於用戶如何在不使用密碼的情況下證明其身份
雖然它們的目的不同,但可以一起工作。
例如,一個 SSO 系統可以使用無密碼方法(如生物識別或安全密鑰)進行認證。這種組合提供了單一登入的便利性和無密碼認證的安全優勢。