L'authentification sans mot de passe est une forme d'authentification multifacteur (MFA) qui élimine le besoin d'un mot de passe. Au lieu de s’appuyer sur quelque chose que l’utilisateur connaît (comme un mot de passe), l’authentification sans mot de passe utilise des méthodes alternatives pour vérifier l’identité d’un utilisateur. Ces méthodes peuvent inclure quelque chose que l'utilisateur possède (comme un appareil mobile de confiance ou une clé de sécurité matérielle) et quelque chose que l'utilisateur possède (comme une analyse d'empreintes digitales). Les cas d'utilisation courants de l'authentification sans mot de passe incluent l'authentification des employés (forces de travail) et l'authentification des clients. Les organisations adoptent l'authentification sans mot de passe pour améliorer l'expérience utilisateur (puisque de nombreuses personnes oublient ou réutilisent des mots de passe faibles), réduisent les risques de sécurité liés aux mots de passe piratés et diminuent les coûts de gestion des mots de passe en évitant aux services d'assistance de gérer de fréquentes réinitialisations de mots de passe. Pour qu'un produit soit classé dans la catégorie Authentification sans mot de passe, il doit authentifier les utilisateurs à l'aide d'applications d'authentification conformes à la FIDO, de clés/cartes de sécurité ou de technologies similaires. Les produits reposant principalement sur une authentification par courrier électronique ou par SMS sont exclus de cette catégorie en raison de leur vulnérabilité aux piratages. De même, un produit qui se contente de relire les mots de passe n'est pas considéré comme sans mot de passe : les véritables solutions sans mot de passe n'impliquent aucun mot de passe à aucun moment. Certaines solutions sans mot de passe peuvent combiner des méthodes conformes à la FIDO avec une authentification biométrique et peuvent également proposer des méthodes de secours, telles que l'authentification vocale, par courrier électronique ou par SMS, mais celles-ci ne devraient être disponibles que dans les situations où les utilisateurs sont hors ligne ou n'ont pas accès aux données cellulaires. plutôt que d'être la méthode d'authentification principale.