Logo Logo
GitHub Designed by Logto

什麼是無密碼認證 (Passwordless Authentication)?

無密碼認證 (Passwordless Authentication) 是一種認證方法,允許用戶在不輸入(或記住)密碼或任何其他基於知識的秘密的情況下登入計算機系統。

例如,當你使用指紋或面部識別解鎖智能手機,或當你通過 SMS 接收一次性代碼以登入你的電子郵件帳戶時——這些都是我們日常生活中常見的無密碼認證方法。

無密碼認證 (Passwordless Authentication) 的類型有哪些?

在我們的日常生活中,有幾種常見的無密碼認證類型:

生物識別認證

生物識別認證利用我們獨特的身體特徵進行身份驗證,主要通過指紋掃描、面部識別和虹膜掃描。我們在日常情境中會遇到這些:

  • 使用 Face ID 解鎖你的 iPhone 購買咖啡
  • 使用指紋登入你的銀行應用
  • 使用虹膜掃描儀進入安全設施

魔法鏈接 (Magic Links) 是發送到你電子郵件的一次性使用鏈接,提供無縫的認證體驗。你會在許多流行服務中找到它們:

  • 點擊 Slack 發送到你電子郵件的 “Sign in” 鏈接
  • Medium 的 “Sign in with email” 選項會發送給你一個登入鏈接
  • Notion 的基於電子郵件的認證系統

查看 魔法連結 (Magic link) 以獲取更多詳細信息。

一次性代碼 (OTP)

一次性代碼 (OTP),通常通過 SMS 或電子郵件發送,是最廣泛使用的無密碼方法之一:

  • 接收 6 位數字代碼以登入你的 Google 帳戶
  • 獲取在線銀行交易的驗證代碼
  • 使用像 Google Authenticator 這樣的認證器應用

查看 一次性密碼 (One-time password, OTP) 以獲取更多詳細信息。

通行密鑰 (Passkeys)

通行密鑰 (Passkeys) 是基於 FIDO 的傳統密碼的安全替代方案,使用先進的加密技術來保護你的帳戶免受網絡釣魚攻擊。以下是它們的工作原理:

  • 每個服務唯一:當你註冊一個服務時,你的設備會創建一個與該特定服務域名相關的唯一通行密鑰
  • 基於設備:通行密鑰通常存儲在硬件安全模塊中,這些模塊要麼內置於你的設備中,要麼作為單獨的安全密鑰
  • 公私鑰對:設備安全地存儲私鑰,同時與服務共享公鑰。這些加密密鑰對就是我們所說的通行密鑰
  • 硬件安全:許多通行密鑰受到專用硬件安全模塊的保護,使其極難被破解
  • 跨設備同步:通行密鑰可以使用雲存儲安全地在設備之間同步(例如,Apple 的 iCloud Keychain 或 Google Password Manager)

常見使用場景:

  • 使用 USB 安全密鑰訪問你的工作筆記本電腦
  • 點擊你的手機(作為安全密鑰)登入你的 Google 帳戶
  • 連接硬件安全密鑰以訪問高度安全的系統

查看 通行密鑰 (Passkey) 以獲取更多詳細信息。

為什麼使用無密碼認證 (Passwordless Authentication)?

數十年來,密碼一直是默認的認證方法。即使在今天,我們的大多數在線帳戶仍然依賴於密碼。然而,這種傳統方法面臨著越來越多的挑戰,讓我們不禁要問:為什麼我們應該使用無密碼認證?

密碼不夠安全

當公司遭遇數據洩露時,數百萬個密碼可能會一次性暴露。攻擊者可以輕鬆地通過自動化工具利用這些密碼,尤其是當許多用戶在不同服務中重複使用他們的密碼時。例如,如果攻擊者從被攻擊的遊戲網站獲得用戶的密碼,他們可能會使用相同的憑據訪問該用戶的電子郵件或銀行帳戶。

查看這篇博客以了解 你的密碼是如何被破解的?

密碼難以使用和管理

想想管理你的在線帳戶:你在不同網站和服務上擁有數十個帳戶,每個帳戶都有自己的密碼要求。即使你嘗試使用一致的密碼,不同的密碼策略也會迫使你添加特殊字符、數字或進行其他變化。一個網站要求至少一個特殊字符,另一個不允許某些符號,第三個要求至少 12 個字符。

當你嘗試登入時,你無法記住你為這個特定網站使用了哪種變體。是以感嘆號結尾的那個嗎?還是帶有 ”@” 符號的那個?在多次嘗試失敗後,你被鎖定,必須再次進行耗時的密碼重置過程。

這種令人沮喪的情況每天在各個組織中上演數百萬次,導致不斷的密碼重置、浪費時間和生產力下降。

無密碼認證 (Passwordless Authentication) 比密碼更安全

想像一下,使用你的指紋或面部識別來訪問你所有的工作應用。由於這些生物識別因素無法像密碼那樣被盜取或猜測,即使攻擊者入侵公司的數據庫,他們也無法利用這些信息冒充用戶。此外,無密碼方法如安全密鑰提供了防止網絡釣魚攻擊的保護,因為它們驗證了用戶和網站的真實性。

無密碼認證 (Passwordless Authentication) 用戶友好

使用無密碼認證,訪問你的帳戶變得像解鎖你的智能手機一樣簡單。

例如,當你在手機上收到推送通知以批准登入嘗試時,你只需輕點或快速查看設備即可進行認證。這種無縫的體驗消除了記住多個密碼的認知負擔,同時保持高安全標準。

無密碼認證 (Passwordless Authentication) 如何運作?

認證通常依賴於三種類型的因素:

  • 用戶知道的東西:如密碼或 PIN
  • 用戶擁有的東西:如物理設備或令牌
  • 用戶是什麼:如生物識別特徵。

無密碼認證遠離傳統的“你知道的東西”方法,而是專注於其他兩個因素。

當使用“你擁有的東西”時,認證過程通常從你的電子郵件地址或電話號碼開始。想像一下你正在登入你的銀行帳戶——而不是輸入密碼,你可能會通過 SMS 或電子郵件接收一次性代碼。或者你可能已經在手機上設置了一個認證應用,該應用會自動生成這些代碼。一些服務甚至會向你的手機發送推送通知,允許你只需輕點“批准”即可登入。對於更高的安全需求,你可能會使用一個插入設備的物理安全密鑰,類似於插入數字鑰匙。

“你是什麼”的方法更為簡單,可能你已經很熟悉。當你使用指紋或通過查看屏幕進行面部識別來解鎖智能手機時,你正在使用生物識別認證。一些系統還使用語音識別,通過說出特定短語來驗證你的身份。這些生物識別因素是你獨有的,並在你的設備上安全地處理。

無密碼認證 (Passwordless Authentication) 和多因素認證 (MFA) 有什麼區別?

無密碼認證 (Passwordless Authentication) 和 多因素認證 (Multi-factor authentication, MFA) 有時會在類似的上下文中提到。因此,有必要分別定義這兩個術語並理解它們之間的區別:

  • 無密碼認證用其他因素取代基於密碼的認證。
  • MFA 指的是使用兩個或更多的認證因素來驗證用戶的身份。

“因素”嚴格來說是我們之前提到的三種不同類型的授權信息。例如,如果用戶在認證過程中僅使用電子郵件地址 + OTP,這是一個與“用戶擁有的東西”相關的因素,我們可以認為用戶的認證是無密碼的。

常見的 MFA 實現包括使用第二個(無密碼)認證因素來增強密碼,但 MFA 也可以完全無密碼。例如,一個應用可以使用指紋作為第一個認證因素,電子郵件地址 + OTP 作為第二個認證因素。

無密碼認證 (Passwordless Authentication) 和單一登入 (SSO) 有什麼區別?

單一登入 (Single sign-on, SSO) (SSO) 和無密碼認證 (Passwordless Authentication) 是身份管理中的兩個不同概念:

  • SSO 是關於集中用戶認證,允許用戶使用單一登入訪問多個應用
  • 無密碼認證專注於用戶如何在不使用密碼的情況下證明其身份

雖然它們的目的不同,但可以一起工作。

例如,一個 SSO 系統可以使用無密碼方法(如生物識別或安全密鑰)進行認證。這種組合提供了單一登入的便利性和無密碼認證的安全優勢。

另見