Logo Logo
GitHub Designed by Logto

什么是无密码 (Passwordless)?

在日常用语中,“无密码 (Passwordless)”是“无密码认证 (passwordless authentication)”的简称。

用户可以提供用于认证 (authentication) 的信息主要可以分为三类:

  1. 用户知道的东西,例如密码、密码恢复问题和答案(通常问题和答案基于个人过去的经验)。
  2. 用户拥有的东西,例如手机、 一次性密码 (One-time password, OTP) 或硬件令牌。
  3. 用户本身的东西,例如指纹、面部识别和其他生物识别标识符。

无密码认证 (passwordless authentication) 是一种认证 (authentication) 方法,允许用户在不输入(或记住)密码或任何其他基于知识的秘密的情况下登录计算机系统。在最常见的实现中,用户需要输入他们的用户标识符(用户名、电子邮件地址、电话号码等),然后通过其他方式提供安全的身份证明来完成认证 (authentication) 过程。

为什么使用无密码认证 (passwordless authentication)?

虽然密码的使用正在逐渐减少,但它们仍然在全球范围内广泛使用。主要原因是基于密码的系统是最容易和最便宜实现的。

此外,密码是数据泄露的主要原因。为了便于记忆,许多人在密码中使用固定模式,例如使用生日或数字键盘上的字母组合来创建纯数字密码。这使得破解密码变得更加容易。实际上,许多人在不知不觉中在多个平台上使用相同的密码,进一步增加了密码泄露的风险。

最后但同样重要的是,密码对用户来说是一个麻烦:它们难以记住且管理繁琐。为了避免在所有场景中使用统一密码,用户需要专门的工具来记录各种密码。此外,由于密码在不同地方使用,可能需要不断查找。这给密码的使用带来了很大的不便。

另一方面,无密码技术如生物识别或 OTP 非常方便且用户友好。理想情况下,用户可以随时随地通过生物识别进行即时认证 (authentication)。在当今手机不可或缺的世界中,所有与“用户拥有的东西”相关的验证通常都可以通过手机完成。

无密码认证 (passwordless authentication) 和多因素认证 (MFA) 有什么区别?

无密码认证 (passwordless authentication) 和 多因子认证 (Multi-factor authentication, MFA) 有时在类似的上下文中被提及。因此,有必要分别定义这两个术语并理解它们之间的区别:

  • 无密码认证 (passwordless authentication) 用其他因素替代基于密码的认证 (authentication)。
  • MFA 指使用两个或多个认证 (authentication) 因素来验证用户的身份。

“因素”实际上是我们之前提到的三种不同类型的授权信息。例如,如果用户在认证 (authentication) 过程中仅使用电子邮件地址 + OTP,这就是与“用户拥有的东西”相关的因素,我们可以认为用户的认证 (authentication) 是无密码的。

常见的 MFA 实现包括使用第二个(无密码的)认证 (authentication) 因素来增强密码,但 MFA 也可以完全无密码。例如,一个应用程序可以使用指纹作为第一个认证 (authentication) 因素,电子邮件地址 + OTP 作为第二个认证 (authentication) 因素。

无密码 (Passwordless) 和 SSO 有什么区别?

基于之前对无密码 (passwordless) 的定义, 单点登录 (Single sign-on, SSO) 是一种无密码 (passwordless) 方法(用户拥有/持有 SSO 提供商的账户)。

此外,SSO 提供商账户通常具有很高的安全性。除了用户名和密码,大多数情况下需要强制性的 MFA 以确保用户对账户有完全控制。MFA 通常涉及使用无密码因素验证,包括但不限于通行密钥 (passkeys)、OTP 和指纹。

另请参阅