雖然無密碼認證取代傳統憑證的承諾已存在了三十多年，但現今的技術已使其成為現實。2022 年，無密碼市場的規模為 156 億美元，但預計到 2030 年將成長至超過 530 億美元。今天，無密碼的採用有很大一部分是透過智慧型手機實現的。OpenText 委託撰寫的「The State of Passwordless」Dark Reading 報告指出，有 64% 的受訪者認為，邁向完全無密碼的驗證模式非常重要。

在過去十年間，遵守政府規定一直是企業採用無密碼技術的動力：

政府-政府和公營部門機構目前必須遵守特定的多因素驗證要求。這些要求一開始只是建議，但多年來已變成政策。這些政策以一般指引的形式推出，但隨著時間的推移，逐漸演變成存取機密文件的特定雙因素強制規定。
醫療照護-美國及全球的醫療照護外洩事件對該市場的組織所造成的財務損失比任何其他市場都大，甚至包括金融業。政府機構已作出回應，提出特定的無密碼和雙重認證要求。
金融服務 - 雖然政府規定必須保護客戶的私人財務及個人資訊，但維護消費者的信任也是資料安全的必要條件。金融服務業一直是多因素驗證的主要採用者，而智慧型手機平台則進一步推動無密碼身份驗證的採用。

勞動人口的身份驗證

從歷史上來看，無密碼技術在工作安全上的使用，一直被歸類為專門的應用程式和使用者。只有在過去十年中，採用此技術的四大障礙才得以消除：

硬式權杖、公司等級的指紋讀取器和其他生物辨識裝置，對於全企業使用而言不再太昂貴。
註冊和裝置設定的成本曾一度令大眾望而卻步，尤其是對於遠端員工和規模太小而無法提供現場 IT 支援的辦公室而言，現在則更為經濟實惠。
持續遠端管理驗證裝置曾經是不可能的事，但現在已成為例行公事，遠端重設和重新配置已成為常態。
以前，安全團隊、管理階層，尤其是使用者，對於無密碼技術缺乏信心，但最近使用案例的激增，卻掀起了認證現代化與規劃的浪潮。

除了裝置的演進之外，認證用例及其相關需求也已改變，超越了政府的規定。

遠端工作

現在，現場工作人員使用行動平台存取私人資訊的情況比以往任何時候都多。遠不止於公路戰士，遠距通勤的採用在過去三年也有顯著的成長。雖然在大流行之前，隨時隨地工作的風氣已逐漸盛行，但新的遠端工作政策自此在各行各業獲得廣泛採用。

雲端

結構化和非結構化的私人資料越來越多地從雲端而非資料中心儲存和存取。隨著使用資料中心託管企業服務和路由遠端流量的情況大幅減少，防火牆安全技術也變得越來越不重要。

個人裝置使用

攜帶自己的裝置 (BYOD) 越來越普遍，進一步侵蝕了安全控制。從 BYOD 遠端存取雲端託管的資源，將基本的依賴從管理裝置轉移到以身分為基礎的安全性。這種依賴會增加網路釣魚和其他身份攻擊的風險，這些攻擊會規避身份驗證。

這種從管理網路、內部數位資源 (服務與非結構化資料) 以及公司裝置的轉移，意味著安全團隊不能再依賴它們作為策略的一部分。相反地，以身分為基礎的安全性必須要有一個可高度防範冒名者的驗證策略。雖然多因素認證的採用率將會持續成長，但單因素無密碼認證在簡化認證程序的同時，也提高了使用者名稱和密碼的安全標準。員工享受面部識別、經驗證的指紋或其他被動體驗的快速與便利。與此同時，組織可獲得更強的防範網路釣魚的能力 - 網路釣魚是最顯著的漏洞和外洩來源。

消費者轉向使用無密碼

核心的無密碼啟動程式是智慧型手機。小巧的機身蘊藏著強大的運算能力，已成為許多人不可或缺的工具，也因此成為無密碼遊戲的改變者。從簡訊、社交媒體、線上購物到銀行服務，我們無所不用其極。我們會隨時拍照、尋找方向或尋找答案。

對手持式運算裝置的依賴已導致前所未有的驗證模式轉變：

通用連線可在驗證過程中對某人的身份進行頻外驗證。
便攜式處理能力可產生種子和鑰匙，作為一次性密碼。
隨著智慧型手機的進步，生物辨識和被動式驗證方法也將不斷進步，讓驗證方式不斷演進，變得更加精密。

消費者越來越意識到傳統認證對他們造成的威脅。各機構認識到這一轉變，並看到了提升數位服務的機會。

無密碼認證的安全性如何？

Verizon 的資料外洩團隊發現魚叉式網路釣魚是犯罪分子使用的主要憑證竊取方法。魚叉式網路釣魚的啟動方式是攻擊者傳送一封看似來自可信任來源 (例如銀行、同事或其他來源) 的電子郵件，將受害者傳送到一個模擬網站。此網站需要驗證，誘騙受害者透露他們的憑證、輸入信用卡號碼或提供其他一些私人資訊。

這種攻擊的變種提供一個連結，點擊後會在受害者的電腦上安裝惡意軟體。

無密碼技術非常適合防禦這類攻擊。對於設定為消除密碼的平台，無法透過輸入或按鍵擷取擷取任何密碼。對於提供密碼為選項的平台，除了無密碼之外，還可以強化無密碼的多因素驗證，例如他們擁有的東西 (如智慧型手機)，或是他們本身的東西 (如生物特徵)。

這種對智慧型手機的依賴，讓智慧型手機的弱點成為安全討論的焦點。在無人看管的情況下，行動裝置可能會落入駭客和其他不良份子手中，他們可以攔截 PIN、OTP 和頻外推送核准，並重新設定生物識別技術以符合自己的需求。SIM 卡被盜也會造成 SMS/OTP 風險。即使使用者很小心，當攻擊者操控服務供應商取消和轉移合法 SIM 卡的重要資訊時，他們的安全性也可能會被攻破。

雖然沒有任何組織可以阻擋所有的威脅，但只要轉換為無密碼模式，就能防止最常見的威脅。即使是單因素驗證，摒棄輸入憑證也能提升安全性。例如，透過以風險為基礎的認證 (RBA) 來提升安全層級，可以做得更多。RBA 在判斷何時需要額外的步驟來驗證使用者的身份方面，有著長期證明的記錄。組織可以在預先定義的條件下啟用第二因素驗證，例如

該裝置以前是否見過？
- 裝置指紋
- 瀏覽器 cookie
使用者是否位於預期的位置？
- IP 地理位置服務
- 地理圍籬 (GSM)
使用者的行為是否符合預期？
- 使用者與實體行為分析 (UEBA)
資訊的風險等級為何？

這些標準可協助組織決定需要多少層級的身分驗證。例如，要求使用指紋才能存取資訊。然而，當風險升高時，仍有更敏感的子集需要多重因素驗證。

無密碼購買者指南

減少數位身分風險和摩擦的實用指南。

閱讀買家指南

如何執行

如何實施無密碼認證

實施無密碼登入所涉及的不只是停止使用密碼，還需要仔細設計使用者流程、選擇強大的驗證器，以及規劃後備路徑。以下是路線圖（可在OpenText 的「無密碼購買指南」中找到更多詳細資訊）：

1.定義保證層級與使用個案對應。首先按風險等級將您的資源分類（例如基本帳戶資訊與財務作業）。使用 NIST 的「驗證保證等級」(Authentication Assurance Levels, AAL) 等標準來決定您的驗證在各種情況下的強度。然後將每個使用者旅程 (登入、交易、管理動作) 對應至適當的保證層級。

2.選擇正確的驗證方法。選擇一個或多個符合您的風險、可用性和成本目標的無密碼方法。理想情況下，挑選可互操作的標準（例如FIDO2），因此您可以保持與供應商的一致性和跨平台性。選項包括

硬體安全金鑰/FIDO2/WebAuthn
具有頻外推送或 TOTP 的行動應用程式
生物辨識驗證（指紋、臉部、聲音）
情境/被動因素 (裝置狀態、地理位置、藍牙)

3.設計安全的註冊流程。使用者與其驗證器之間的綁定非常重要。驗證身分 (例如，透過現有憑證、身分證明或親自檢查)，然後以加密方式註冊驗證器。每個帳戶支援多個驗證器 (讓使用者有備份)，並允許他們停用或變更方法。

4.實施驗證流。針對每次互動（登入、交易、會話更新）：

挑戰使用者登記的驗證器。
使用加密安全交換（例如 WebAuthn、CTAP）。
包含詐欺/風險訊號（裝置指紋、位置、行為）以適應所需的強度。
僅在需要時才開啟或升級 (不要封鎖低風險存取)。

5.提供後備/恢復路徑。沒有一個系統是完美的。使用者可能會遺失手機或鑰匙。提供安全、高保證的復原選項（例如支援身分驗證、替代驗證器或挑戰回應回復），以在不削弱安全性的情況下恢復存取。

6.監控、迭代和分階段推出。從有限的試驗群組或非關鍵路徑開始。監控使用者回饋、退出率、支援票單和安全事件。使用這些資料來完善您的流程、校準風險臨界值並擴大涵蓋範圍。確保記錄和鑑識追蹤到位，以偵測異常。

常見問題

什麼是「無密碼驗證」？

無密碼認證表示使用者無需記憶或輸入密碼即可登入。取而代之的是，身份驗證依賴與裝置（或生物特徵/PIN）相關的加密憑證來證明身份。

無密碼認證與多因素認證 (MFA) 有何不同？

MFA 通常會在密碼的基礎上進行額外的檢查。無密碼認證完全避免使用密碼，僅依賴更強的因素（裝置、生物特徵或持有），並可選擇混合其他因素。

哪些技術或方法可以實現無密碼登入？

常見的無密碼方式包括

硬體安全金鑰/FIDO2/WebAuthn
生物辨識檢查（指紋、臉部）或裝置 PIN 碼
行動推送通知或應用程式
神奇連結或一次性代碼 (如果設計安全)

無密碼是否比密碼更安全？

在許多情況下，是的，無密碼比密碼更安全 - 尤其是在正確執行的情況下。由於沒有密碼可供竊取，因此可以抵禦憑證重覆使用、暴力攻擊和許多網路釣魚攻擊。

如果使用者遺失裝置，該怎麼辦？

您應該建立後備或復原選項，例如替代驗證器、身分驗證步驟或預先註冊的復原方法，讓使用者可以在不削弱安全性的情況下重新取得存取權限。

無密碼是否難以採用或昂貴？

無密碼可能會產生前期成本（基礎設施、使用者上線、裝置配置），但這些成本通常會被密碼重設、求助台負荷和安全風險的減少所抵銷。

使用者會覺得無密碼好用嗎？

一般而言，是的。許多使用者認為生物辨識或推送式方法比密碼更簡單快速。然而，使用者教育和順暢的流程對於減少摩擦是非常重要的。