什麼是無密碼 (Passwordless)?
在常用語中,“無密碼”是“無密碼身份驗證 (Passwordless Authentication)”的簡稱。
用戶可以提供的身份驗證信息主要可分為三種類型:
- 用戶知道的東西,例如密碼、密碼恢復問題和答案(通常問題和答案基於個人過去的經歷)。
- 用戶擁有的東西,例如手機、 一次性密碼 (One-time password, OTP) 或硬體令牌。
- 用戶是什麼,例如指紋、面部識別和其他生物識別標識符。
無密碼身份驗證是一種身份驗證方法,允許用戶在不輸入(或記住)密碼或任何其他基於知識的秘密的情況下登錄計算機系統。在最常見的實現中,用戶需要輸入其用戶標識符(用戶名、電子郵件地址、電話號碼等),然後通過其他方式提供安全的身份證明來完成身份驗證過程。
為什麼使用無密碼身份驗證?
雖然密碼的使用正在逐漸減少,但它們仍然在全球廣泛使用。主要原因是基於密碼的系統是最容易和最便宜的實施。
此外,密碼是數據洩露的主要原因。為了使它們更容易記住,許多人在密碼中使用固定模式,例如使用生日或從數字鍵盤中組合字母來創建純數字密碼。這使得破解密碼變得更加容易。實際上,許多人在不知不覺中在多個平台上使用相同的密碼,進一步增加了密碼洩露的風險。
最後但同樣重要的是,密碼對用戶來說是一種麻煩:它們難以記住且管理起來繁瑣。為了避免在所有情況下使用統一的密碼,用戶需要專用工具來記錄各種密碼。此外,由於密碼在不同地方使用,可能需要不斷查找。這對密碼的使用造成了顯著的不便。
另一方面,無密碼技術如生物識別或 OTP 非常方便且用戶友好。理想情況下,用戶可以隨時隨地通過其生物識別信息立即進行身份驗證。在當今手機不可或缺的世界中,所有與“用戶擁有的東西”相關的驗證通常可以通過手機完成。
無密碼身份驗證與多因素身份驗證 (MFA) 有什麼區別?
無密碼身份驗證和 多因素認證 (Multi-factor authentication, MFA) 有時在類似的上下文中被提及。因此,有必要分別定義這兩個術語並了解它們之間的區別:
- 無密碼身份驗證用其他因素替代基於密碼的身份驗證。
- MFA 是指使用兩個或更多身份驗證因素來驗證用戶的身份。
“因素”實際上是我們之前提到的三種類型的授權信息。例如,如果用戶在身份驗證期間僅使用電子郵件地址 + OTP,這是一個與“用戶擁有的東西”相關的因素,我們可以認為用戶的身份驗證是無密碼的。
常見的 MFA 實現包括使用第二個(無密碼)身份驗證因素來增強密碼,但 MFA 也可以完全無密碼。例如,一個應用程序可以使用指紋作為第一個身份驗證因素,電子郵件地址 + OTP 作為第二個身份驗證因素。
無密碼與單一登入 (SSO) 有什麼區別?
根據之前對無密碼的定義, 單一登入 (Single sign-on, SSO) 是一種無密碼的方法(用戶擁有 SSO 提供者的帳戶)。
此外,SSO 提供者的帳戶通常具有高安全性。除了用戶名和密碼外,大多數情況下需要強制性的 MFA 以確保用戶對帳戶的完全控制。MFA 通常涉及使用無密碼因素驗證,包括但不限於通行密鑰、OTP 和指紋。