什么是无密码身份验证？

无密码身份验证是一种验证用户身份的方式，无需传统的密码。相反，用户通过其他方式验证身份，如生物识别、通行密钥、魔法链接或一次性密码 (OTP)。

无密码身份验证如何运作？

无密码身份验证依赖用户“属于”或用户“拥有”的特性，而非用户“知道”的信息（如密码）。用户登录使用无密码身份验证的帐户时，首先要输入其用户名或电子邮箱地址。然后，他们会收到提示，提供他们必需验证其身份的信息。这可能是发送至其设备的安全密钥或魔法链接。如果用户的身份验证方式依赖他们自身，他们可以通过面部、眼睛或指纹扫描或语音识别来展示其生物识别信息。

无密码身份验证的类型

无密码身份验证可以分为两类：拥有和属性因素。

拥有因素

拥有身份验证依赖用户拥有的东西。硬件安全密钥是拥有因素的最佳范例，因为这些事只有用户才能访问的类似物理 USB 的密钥。属于这一类别的其他无密码身份验证方式包括魔法链接、通行密钥和基于时间的一次性密码 (TOTP)。

属性因素

属性身份验证因素基于用户的身体特征。属性因素包括任何类型的生物识别信息，如指纹、面部识别和视网膜扫描。

无密码身份验证安全吗？

无密码身份验证比基于密码的身份验证更安全。这是因为无密码身份验证方式不容易因常见的基于密码的攻击（如凭证填充和暴力攻击）而被盗。

传统的基于密码的身份验证利用知识作为身份验证因素。无密码身份验证系统将此知识因素视作网络钓鱼、勒索软件和基于密码的攻击的可能攻击向量，因为“你知道的信息”也是别人可能了解到的信息，并有可能用此类信息来对付您或您的组织。

无密码身份验证的优势

使用无密码身份验证有两个优势。

提高安全性

无密码身份验证比使用传统密码更安全，从而消除了弱凭证带来的威胁以及遭受密码攻击的潜在风险。这不仅可以减小组织的攻击面，还可以提高组织的整体安全。

改善用户体验

在拥有众多密码的情况下，我们可能很难全部记住，这通常会导致密码重置。这些重置不仅对组织来说成本高昂，还会导致工作效率下降。实施无密码身份验证可以降低密码相关 IT 支持成本，并提高工作效率，同时为用户提供无缝的登录体验。

无密码身份验证的缺点

实施无密码身份验证的一个主要缺点是，这会给组织带来高昂费用。这是因为它可能需要组织购买额外的硬件和软件来支持其实施。虽然成本可能高昂，但组织的投资回报率 (ROI) 很高，因为它们正在采取措施减轻遭受网络攻击的潜在风险，此类攻击可能造成重大经济损失并导致剩余受损。