无密码认证
本文约需 2 分钟阅读
无密码认证是不使用密码进行身份验证的认证方式的统称。它有通行密钥、安全密钥、生物识别认证、魔术链接等多种实现方式,它们都通过排除密码这一「共享秘密」,从根本上消除泄露、重复使用、钓鱼等密码固有的脆弱性。 Microsoft 于 2025 年将新账户的默认设置切换为无密码,正在推进一场影响 10 亿以上用户的大规模迁移。
从根本上解决密码问题的原因
密码认证存在结构性缺陷。服务器端必须保存秘密 (哈希化的密码),服务器遭到入侵时会泄露大量认证信息。由于用户依赖记忆,密码疲劳会促使他们重复使用或简化密码,从而成为撞库攻击的目标。无密码认证以如下方式解决这些问题。
服务器上仅保存公钥。即使泄露也无法被滥用。
由于不存在密码,重复使用本身变得不可能。
基于 FIDO2 的方式通过来源验证,使得在假冒网站上无法完成认证。
实现方式的分类
| 方式 | 原理 | 抗钓鱼能力 | 主要用途 |
|---|---|---|---|
| 通行密钥 | FIDO2 公钥密码 + 云端同步 | ◎ 高 | 面向普通用户的服务 |
| 安全密钥 | FIDO2 公钥密码 + 物理设备 | ◎ 高 | 企业的高安全性环境 |
| 魔术链接 | 向邮箱发送临时登录 URL | △ 低 | Slack、Notion 等 SaaS |
| 生物识别认证 (单独) | 在设备上比对指纹、面部、虹膜 | ○ 中等 | 智能手机解锁 |
魔术链接排除了密码,但一旦邮箱账户被入侵就会被攻破,因此抗钓鱼能力有限。基于 FIDO2/WebAuthn 的通行密钥和安全密钥在安全性方面是最稳健的选择。
常见误解 - 无密码 ≠ 不需要密码
由于「无密码」这一名称,人们容易误解为「完全不需要密码」,但现实要稍微复杂一些。通行密钥的云端同步需要 Apple ID 或 Google 账户的密码,密码管理器的主密码也依然存在。无密码认证所消除的是「为每个服务管理各自密码的负担」,而实际情况是认证基础的根本之处往往仍然保留着密码。
导入现状与过渡期的课题
截至 2025 年,Apple、Google、Microsoft 三大平台已支持通行密钥,GitHub、Amazon、PayPal 等主要服务的采用也在推进。然而,并非所有服务都会同时迁移到无密码,短期内密码与无密码并行运行的状态仍将持续。
过渡期的一个实务课题是,对于尚不支持通行密钥的服务,仍需继续使用密码管理器来管理强密码。一并了解通行密钥迁移的课题与两步验证基础,有助于制定循序渐进的迁移计划。无密码认证技术书 (Amazon)也可作为实现的参考。
现场使用案例
“将公司内部的 Microsoft 365 迁移到无密码 (Windows Hello + Authenticator) 后,向服务台提出的密码重置申请从每月 150 件降为零。登录时间也从平均 12 秒缩短到 3 秒,员工满意度大幅提升。”
生物识别认证的风险也是导入无密码时应当掌握的重要话题。
这篇文章对您有帮助吗?