虽然无密码身份验证取代传统凭证的承诺已经存在了三十多年，但当今的技术已将其变为现实。2022 年，无密码市场规模为 156 亿美元，但预计到 2030 年将增长到 530 亿美元以上。如今，智能手机在很大程度上实现了无密码化。OpenText 委托编写的 "无密码状态"黑暗阅读报告指出，64% 的受访者认为，转向完全无密码的身份验证模式非常重要。

在过去十年中，遵守政府规定一直是企业采用无密码技术的动力：

政府--政府和公共部门机构现在必须遵守特定的多因素身份验证要求。这些要求最初只是建议，但多年来已变成了政策。这些政策是作为一般准则推出的，但随着时间的推移，逐渐演变成了获取机密文件的具体双因素规定。
医疗保健--美国和全球的医疗保健外泄事件给该市场中的组织造成的经济损失比其他任何市场都要严重，甚至包括金融业。政府机构对此做出了回应，提出了具体的无密码和双因素身份验证要求。
金融服务--虽然政府规定必须保护客户的私人财务和个人信息，但保持消费者的信任也是数据安全的必要条件。虽然金融服务一直是多因素身份验证的主要采用者，但智能手机平台进一步推动了无密码身份验证的采用。

劳动力身份验证

在劳动力安全方面，无密码技术的使用历来仅限于专门的应用程序和用户。只是在过去十年中，采用该技术的四个最主要障碍才得以消除：

硬令牌、公司级指纹读取器和其他生物识别设备对于企业范围内的使用不再过于昂贵。
注册和设备安装的成本曾一度令大规模采用望而却步，特别是对于远程员工和规模太小、无法提供现场 IT 支持的办公室而言，而现在则更加经济实惠。
对身份验证设备进行持续的远程管理曾经是不可能的，但现在已成为常规工作，远程重置和重新配置已成为常态。
以前，安全团队、管理层，尤其是用户，对无密码技术缺乏信心，而最近使用案例的激增，掀起了一股身份验证现代化和规划的浪潮。

除了设备的演变，身份验证用例及其相关要求也发生了变化，这已超出了政府规定的范围。

远程工作

现在，外勤人员使用移动平台访问私人信息的情况比以往任何时候都多。在过去的三年里，远程办公的采用远远超出了公路战士的范围，出现了显著增长。尽管在大流行病发生之前，随时随地工作的情况一直在稳步增长，但自那时起，新的远程工作政策已在各行各业得到广泛采用。

云

结构化和非结构化私人数据越来越多地通过云而不是数据中心存储和访问。随着托管企业服务和路由远程流量的数据中心的使用大幅减少，防火墙安全技术正变得越来越不重要。

个人设备的使用

自带设备（BYOD）的日益普及进一步削弱了安全控制。BYOD 对云端托管资源的远程访问，将对管理设备的基本依赖转移到了基于身份的安全上。这种依赖性导致更容易受到网络钓鱼和其他规避身份验证的身份攻击。

从托管网络、内部数字资源（服务和非结构化数据）到公司设备的转变，意味着安全团队不能再依赖它们作为战略的一部分。相反，将安全建立在身份基础上，就必须采取一种可高度抵御冒名顶替者的验证策略。虽然多因素身份验证的采用率会继续增长，但单因素无密码身份验证在简化身份验证流程的同时，也提高了用户名和密码的安全标准。员工可以享受面部识别、验证指纹或其他被动体验带来的快捷和便利。同时，组织还能增强对网络钓鱼的防护--网络钓鱼是最突出的漏洞和漏洞源。

消费者转向无密码

智能手机是无密码功能的核心。它们小巧玲珑，却拥有强大的计算能力，已成为我们许多人不可或缺的工具，从而改变了无密码的游戏规则。从短信到社交媒体，再到网上购物和银行业务，我们无所不用其极。我们随时随地拍照、寻找方向或寻找答案。

对手持计算设备的依赖导致了前所未有的身份验证模式转变：

通用连接允许在认证过程中对某人的身份进行带外验证。
便携式处理能力可生成种子和密钥，作为一次性密码。
随着智能手机的发展，生物识别和被动身份验证方法也将不断进步，使验证不断发展并变得更加复杂。

消费者越来越意识到传统身份验证对他们造成的威胁。各组织认识到了这一转变，并看到了提升数字服务的机遇。

无密码身份验证的安全性如何？

Verizon 的数据泄露小组发现，鱼叉式网络钓鱼是犯罪分子使用的主要凭证窃取方法。鱼叉式网络钓鱼是指攻击者发送一封看似来自银行、同事或其他可信来源的电子邮件，将受害者发送到一个模拟网站。该网站要求进行身份验证，诱骗受害者透露他们的凭据、输入信用卡号码或提供其他一些私人信息。

这种攻击的一个变种是提供一个链接，点击后会在受害者电脑上安装恶意软件。

无密码技术非常适合防范这类攻击。对于配置为消除密码的平台，无法通过输入或按键捕获获取任何密码。对于除提供无密码选项外还提供密码的平台，可以通过无密码多因素身份验证来加强其功能，例如他们所拥有的智能手机或他们本身的生物特征。

对智能手机的依赖使其漏洞成为安全讨论的焦点。在无人看管的情况下，移动设备可能落入黑客和其他坏人之手，他们可以拦截 PIN、OTP 和带外推送审批，并重新配置生物识别技术，使之与自己相匹配。SIM 卡被盗也会带来 SMS/OTP 风险。即使用户再小心谨慎，当攻击者操纵服务提供商取消和转移合法 SIM 卡中的重要信息时，他们的安全也会遭到破坏。

虽然任何组织都不可能挫败所有威胁，但只要改用无密码模式，就能防范最常见的威胁。即使是单因素身份验证，摒弃输入凭证也能提高安全性。例如，通过基于风险的身份验证（RBA）提高安全级别，还可以做得更多。长期以来，RBA 在确定何时需要采取额外步骤验证用户身份方面有着良好的记录。各组织可在预定义的条件下调用第二要素身份验证，例如

该设备以前出现过吗？
- 设备指纹识别
- 浏览器 cookie
用户是否位于预期位置？
- IP 地理定位服务
- 地理围栏（GSM）
用户的行为是否符合预期？
- 用户和实体行为分析 (UEBA)
信息的风险等级是什么？

这些标准有助于组织确定需要进行几级身份验证。例如，获取信息需要指纹。不过，当风险升高时，仍有一个更敏感的子集需要多因素身份验证。

无密码购买指南

减少数字身份风险和摩擦的实用指南。

阅读买家指南

如何实施

如何实施无密码身份验证

实施无密码登录涉及的不仅仅是取消密码的使用，还需要精心设计用户流、选择强大的验证器和规划备用路径。以下是路线图（更多详情请参见OpenText 的《无密码购买指南》）：

1.定义保证层级和用例映射。首先按照风险等级对资源进行分类（例如基本账户信息与财务运作）。使用 NIST 的身份验证保证级别 (AAL) 等标准来决定每种情况下的身份验证强度。然后将每个用户旅程（登录、交易、管理操作）映射到相应的保证层。

2.选择正确的身份验证方法。选择一种或多种符合风险、可用性和成本目标的无密码方法。理想情况下，选择可互操作的标准（例如FIDO2），这样就可以保持与供应商的一致性和跨平台性。选项包括

硬件安全密钥/FIDO2/WebAuthn
带外推送或 TOTP 的移动应用程序
生物识别验证（指纹、人脸、声音）
情境/被动因素（设备状态、地理位置、蓝牙）

3.设计安全的注册流程。用户与其验证器之间的绑定至关重要。验证身份（例如，通过现有凭证、身份证明或亲自检查），然后对验证器进行加密注册。每个账户支持多个验证器（以便用户有备份），并允许用户禁用或更改验证方法。

4.实施身份验证流程。每次交互（登录、交易、会话更新）：

挑战用户注册的验证器。
使用加密安全交换（如 WebAuthn、CTAP）。
包括欺诈/风险信号（设备指纹、位置、行为），以调整所需的强度。
只有在需要时才开放或升级（不要阻止低风险访问）。

5.提供后备/恢复路径。没有一个系统是完美的。用户可能会丢失手机或钥匙。提供安全、高保障的恢复选项（例如支持身份验证、备用验证器或挑战-响应回退），在不削弱安全性的情况下恢复访问。

6.监控、迭代和分阶段推出。从有限的试点小组或非关键路径开始。监控用户反馈、退出率、支持票据和安全事件。利用这些数据完善流程、校准风险阈值并扩大覆盖范围。确保记录和取证跟踪到位，以发现异常。

常见问题解答

无密码身份验证 "是什么意思？

无密码身份验证意味着用户无需记住或输入密码即可登录。相反，身份验证依靠与设备（或生物识别/PIN）绑定的加密凭证来证明身份。

无密码身份验证与多因素身份验证（MFA）有什么不同？

MFA 通常会在密码的基础上进行额外的检查。无密码身份验证完全避免使用密码，只依赖于更强的因素（设备、生物识别或持有），并可选择混合其他因素。

哪些技术或方法可以实现无密码登录？

常见的无密码方法包括

硬件安全密钥/FIDO2/WebAuthn
生物识别检查（指纹、面部）或设备 PIN 码
移动推送通知或应用程序
魔术链接或一次性代码（如果设计安全）

无密码是否比密码更安全？

在很多情况下，是的，无密码比密码更安全--尤其是在正确使用的情况下。由于没有密码可窃取，它可以抵御凭证重复使用、暴力攻击和许多网络钓鱼攻击。

如果用户丢失了设备该怎么办？

你应该建立后备或恢复选项--例如备用验证器、身份验证步骤或预先注册的恢复方法--这样用户就可以在不削弱安全性的情况下重新获得访问权。

无密码是否难以采用或价格昂贵？

无密码化可能会产生前期成本（基础设施、用户入职、设备配置），但这些成本往往会被密码重置、服务台工作量和安全风险的减少所抵消。

用户会觉得无密码使用方便吗？

一般来说，是的。许多用户认为生物识别或基于推送的方法比密码更简单快捷。然而，用户教育和顺畅的流程对于减少摩擦至关重要。