什么是无密码认证 (Passwordless Authentication)?
无密码认证 (Passwordless Authentication) 是一种认证方法,允许用户在不输入(或记住)密码或任何其他基于知识的秘密的情况下登录计算机系统。
例如,当你使用指纹或面部识别解锁智能手机,或者通过短信接收一次性代码登录电子邮件账户时——这些都是我们日常生活中常用的无密码认证 (Passwordless Authentication) 方法。
无密码认证 (Passwordless Authentication) 的类型有哪些?
在我们的日常生活中,有几种常见的无密码认证 (Passwordless Authentication) 类型:
生物识别认证
生物识别认证利用我们独特的身体特征进行身份验证,主要通过指纹扫描、面部识别和虹膜扫描。我们在日常生活中会遇到这些情况:
- 使用 Face ID 解锁你的 iPhone 买咖啡
- 用指纹登录你的银行应用
- 使用虹膜扫描仪访问安全设施
魔法链接 (Magic Links)
魔法链接 (Magic Links) 是发送到你电子邮件的特殊一次性使用链接,提供无缝的认证体验。你会在许多流行服务中找到它们:
- 点击来自 Slack 的电子邮件中的“登录”链接
- Medium 的“使用电子邮件登录”选项,向你发送登录链接
- Notion 的基于电子邮件的认证系统
查看 魔法链接 (Magic link) 了解更多详情。
一次性代码 (OTP)
一次性代码 (OTP),通常通过短信或电子邮件发送,是最广泛使用的无密码方法之一:
- 接收 6 位数代码以登录你的 Google 账户
- 获取在线银行交易的验证码
- 使用像 Google Authenticator 这样的认证应用
查看 一次性密码 (One-time password, OTP) 了解更多详情。
通行密钥 (Passkeys)
通行密钥 (Passkeys) 是基于 FIDO 的传统密码的安全替代品,使用高级加密技术保护你的账户免受网络钓鱼攻击。它们的工作原理如下:
- 每个服务唯一:当你注册一个服务时,你的设备会创建一个与该特定服务域相关的唯一通行密钥
- 基于设备:通行密钥通常存储在硬件安全模块中,内置于你的设备中或作为单独的安全密钥
- 公私钥对:设备安全地存储私钥,同时与服务共享公钥。这些加密密钥对就是我们所说的通行密钥
- 硬件安全:许多通行密钥受到专用硬件安全模块的保护,使其极难被破解
- 跨设备同步:通行密钥可以使用云存储安全地跨设备同步(例如,Apple 的 iCloud 钥匙串或 Google 密码管理器)
常见使用场景:
- 使用 USB 安全密钥访问你的工作笔记本电脑
- 轻触你的手机(作为安全密钥)登录你的 Google 账户
- 连接硬件安全密钥以访问高度安全的系统
查看 密钥 (Passkey) 了解更多详情。
为什么使用无密码认证 (Passwordless Authentication)?
几十年来,密码一直是默认的认证方法。即使在今天,我们的大多数在线账户仍然依赖于密码。然而,这种传统方法面临着越来越多的挑战,让我们不禁要问:为什么我们应该使用无密码认证 (Passwordless Authentication)?
密码不够安全
当公司遭遇数据泄露时,数百万个密码可能会同时被曝光。攻击者可以通过自动化工具轻松利用这些密码,尤其是许多用户在不同服务中重复使用密码。例如,如果攻击者从被攻破的游戏网站获取了用户的密码,他们可能会使用相同的凭据访问该用户的电子邮件或银行账户。
查看这篇博客了解 你的密码是如何被破解的? 。
密码难以使用和管理
想想管理你的在线账户:你在不同网站和服务上有几十个账户,每个账户都有自己的密码要求。即使你尝试使用一致的密码,不同的密码策略也会迫使你添加特殊字符、数字或进行其他变体。一个网站要求至少一个特殊字符,另一个不允许某些符号,第三个要求至少 12 个字符。
当你尝试登录时,你记不住你为这个特定网站使用了哪个变体。是结尾有感叹号的那个吗?还是有“@”符号的那个?经过几次失败的尝试后,你被锁定了,不得不再次经历耗时的密码重置过程。
这种令人沮丧的情况每天在各个组织中上演数百万次,导致不断的密码重置、时间浪费和生产力下降。
无密码认证 (Passwordless Authentication) 比密码更安全
想象一下,使用你的指纹或面部识别访问你所有的工作应用程序。由于这些生物识别因素无法像密码那样被盗或猜测,即使攻击者攻破了公司的数据库,他们也无法使用这些信息冒充用户。此外,像安全密钥这样的无密码方法提供了对网络钓鱼攻击的保护,因为它们验证了用户和网站的真实性。
无密码认证 (Passwordless Authentication) 用户友好
使用无密码认证 (Passwordless Authentication),访问你的账户变得像解锁智能手机一样简单。
例如,当你在手机上收到推送通知以批准登录尝试时,你只需轻点或快速查看设备即可进行认证。这种无缝体验消除了记住多个密码的认知负担,同时保持高安全标准。
无密码认证 (Passwordless Authentication) 如何工作?
认证通常依赖于三种类型的因素:
- 用户知道的东西:如密码或 PIN
- 用户拥有的东西:如物理设备或令牌
- 用户本身的东西:如生物特征。
无密码认证 (Passwordless Authentication) 摒弃了传统的“你知道的东西”方法,而是专注于其他两个因素。
当使用“你拥有的东西”时,认证过程通常从你的电子邮件地址或电话号码开始。想象一下你正在登录银行账户——而不是输入密码,你可能会通过短信或电子邮件收到一次性代码。或者你可能在手机上设置了一个认证应用,自动生成这些代码。有些服务甚至会向你的手机发送推送通知,允许你简单地点击“批准”以登录。对于更高的安全需求,你可能会使用一个插入设备的物理安全密钥,类似于插入数字钥匙。
“你本身的东西”方法更为简单,可能你已经很熟悉。当你用指纹或通过看屏幕进行面部识别解锁智能手机时,你正在使用生物识别认证。一些系统还使用语音识别,通过说出特定短语来验证你的身份。这些生物识别因素是你独有的,并在你的设备上安全处理。
无密码认证 (Passwordless Authentication) 和多因素认证 (MFA) 有什么区别?
无密码认证 (Passwordless Authentication) 和 多因子认证 (Multi-factor authentication, MFA) 有时在类似的上下文中被提及。因此,有必要分别定义这两个术语并理解它们之间的区别:
- 无密码认证 (Passwordless Authentication) 用其他因素替代基于密码的认证。
- MFA 指使用两个或多个认证因素来验证用户的身份。
“因素”实际上是我们之前提到的三种不同类型的授权信息。例如,如果用户在认证过程中仅使用电子邮件地址 + OTP,这就是与“用户拥有的东西”相关的因素,我们可以认为用户的认证是无密码的。
常见的 MFA 实现包括使用第二个(无密码的)认证因素来增强密码,但 MFA 也可以完全无密码。例如,一个应用程序可以使用指纹作为第一个认证因素,电子邮件地址 + OTP 作为第二个认证因素。
无密码认证 (Passwordless Authentication) 和单点登录 (SSO) 有什么区别?
单点登录 (Single sign-on, SSO) (SSO) 和无密码认证 (Passwordless Authentication) 是身份管理中的两个不同概念:
- SSO 是关于集中用户认证,允许用户通过一次登录访问多个应用程序
- 无密码认证 (Passwordless Authentication) 关注于用户如何在不使用密码的情况下证明其身份
虽然它们的目的不同,但可以协同工作。
例如,SSO 系统可以使用无密码方法(如生物识别或安全密钥)进行认证。这种组合提供了单点登录的便利性和无密码认证 (Passwordless Authentication) 的安全优势。