什么是无密码身份验证?

无密码身份验证是一种验证用户身份的方式,无需传统的密码。相反,用户通过其他方式验证身份,如生物识别、通行密钥、魔法链接或一次性密码 (OTP)。

无密码身份验证如何运作?

无密码身份验证依赖用户“属于”或用户“拥有”的特性,而非用户“知道”的信息(如密码)。用户登录使用无密码身份验证的帐户时,首先要输入其用户名或电子邮箱地址。然后,他们会收到提示,提供他们必需验证其身份的信息。这可能是发送至其设备的安全密钥或魔法链接。如果用户的身份验证方式依赖他们自身,他们可以通过面部、眼睛或指纹扫描或语音识别来展示其生物识别信息

无密码身份验证的类型

无密码身份验证可以分为两类:拥有和属性因素。

拥有因素

拥有身份验证依赖用户拥有的东西。硬件安全密钥是拥有因素的最佳范例,因为这些事只有用户才能访问的类似物理 USB 的密钥。属于这一类别的其他无密码身份验证方式包括魔法链接、通行密钥基于时间的一次性密码 (TOTP)。

属性因素

属性身份验证因素基于用户的身体特征。属性因素包括任何类型的生物识别信息,如指纹、面部识别和视网膜扫描。

无密码身份验证安全吗?

无密码身份验证比基于密码的身份验证更安全。这是因为无密码身份验证方式不容易因常见的基于密码的攻击(如凭证填充暴力攻击)而被盗。

传统的基于密码的身份验证利用知识作为身份验证因素。无密码身份验证系统将此知识因素视作网络钓鱼勒索软件和基于密码的攻击的可能攻击向量,因为“你知道的信息”也是别人可能了解到的信息,并有可能用此类信息来对付您或您的组织。

无密码身份验证的优势

使用无密码身份验证有两个优势。

提高安全性

无密码身份验证比使用传统密码更安全,从而消除了弱凭证带来的威胁以及遭受密码攻击的潜在风险。这不仅可以减小组织的攻击面,还可以提高组织的整体安全。

改善用户体验

在拥有众多密码的情况下,我们可能很难全部记住,这通常会导致密码重置。这些重置不仅对组织来说成本高昂,还会导致工作效率下降。实施无密码身份验证可以降低密码相关 IT 支持成本,并提高工作效率,同时为用户提供无缝的登录体验。

无密码身份验证的缺点

实施无密码身份验证的一个主要缺点是,这会给组织带来高昂费用。这是因为它可能需要组织购买额外的硬件和软件来支持其实施。虽然成本可能高昂,但组织的投资回报率 (ROI) 很高,因为它们正在采取措施减轻遭受网络攻击的潜在风险,此类攻击可能造成重大经济损失并导致剩余受损。

中文 (CN) 致电我们