什么是无密码 (Passwordless)?
在日常语言中,“无密码”是“无密码认证 (Passwordless Authentication)”的简称。
用户可以提供用于认证的信息主要分为三类:
- 用户知道的东西,如密码、密码恢复问题和答案(通常基于个人过去经验的问题和答案)。
- 用户拥有的东西,如手机、一次性密码 (OTP) 或硬件令牌。
- 用户的特征,如指纹、面部识别以及其他生物识别标识符。
无密码认证 (Passwordless Authentication) 是一种允许用户在无需输入(或记住)密码或其他基于知识的秘密情况下登录计算机系统的认证方法。在最常见的实现中,用户需要输入其用户标识符(用户名、电子邮件地址、电话号码等),然后通过其他方式提供安全的身份验证来完成认证过程。
为什么使用无密码认证 (Passwordless Authentication)?
虽然密码的使用正在逐渐减少,但它们仍然在全球范围内广泛使用。其主要原因是基于密码的系统是最容易和最便宜实现的。
此外,密码是数据泄露的主要原因。为了便于记忆,许多人在密码中使用固定模式,如使用生日或从数字键盘产生的字母组合创建纯数字密码。这使得破解密码变得更加容易。实际上,许多人在不知不觉中会在多个平台上使用相同的密码,进一步增加了密码泄露的风险。
最后但并非最不重要的是,密码对用户构成了麻烦:它们难以记忆且繁琐管理。为了避免在所有情况下使用统一密码,用户需要使用专门工具记录各种密码。此外,由于密码在不同地方使用,可能需要不断查找。这给密码的使用带来了重大不便。
另一方面,像生物识别或 OTP 这样的无密码技术则具有高度便捷性和用户友好的特点。理想情况下,用户可以随时随地使用生物识别进行即时认证。在一个手机无处不在的世界里,与“用户拥有的东西”相关的所有验证通常都可以通过手机完成。
无密码认证 (Passwordless Authentication) 与多因素认证 (MFA) 有什么区别?
无密码认证 (Passwordless Authentication) 和多因素认证 (MFA) 有时在类似的上下文中被提及。因此,必须分别定义这两个术语并理解它们之间的区别:
- 无密码认证 (Passwordless Authentication) 使用其他因素替代基于密码的认证。
- MFA 指使用两个或多个认证因素来验证用户的身份。
“因素”实际上是我们之前提到的三种不同类型的授权信息。例如,如果用户在认证中仅使用电子邮件地址 + OTP,这就是一个与“用户拥有的东西”相关的因素,因此我们可以认为用户的认证是无密码的。
常见的 MFA 实现包括使用第二个(无密码的)认证因素来增强密码,但 MFA 也可以完全无密码。例如,应用程序可以使用指纹作为第一个认证因素,电子邮件地址 + OTP 作为第二个认证因素。
无密码 (Passwordless) 和单点登录 (SSO) 有什么区别?
基于之前对无密码 (Passwordless) 的定义,SSO 是一种无密码的方法(用户拥有一个用于 SSO 提供商的账号)。
此外,SSO 提供商账号通常具有很高的安全性。除用户名和密码外,绝大多数情况下需要强制性 MFA 来确保用户对账号拥有完全的控制。MFA 通常涉及使用无密码因素验证,包括但不限于密钥 (Passkeys)、OTP 和指纹。