无密码身份验证是多重身份验证 (MFA) 的一种形式,无需密码。无密码身份验证不依赖用户知道的内容(例如密码),而是使用替代方法来验证用户的身份。这些方法可能包括用户拥有的东西(例如受信任的移动设备或硬件安全密钥)和用户本身的东西(例如指纹扫描)。 无密码身份验证的常见用例包括员工(员工)身份验证和客户身份验证。由于许多人忘记或重复使用弱密码,组织采用无密码身份验证来增强用户体验,从而降低密码泄露带来的安全风险,并通过减轻服务台处理频繁密码重置的负担来降低密码管理成本。 对于要分类为无密码身份验证的产品,它必须使用符合 FIDO 的身份验证器应用程序、安全密钥/卡或类似技术对用户进行身份验证。主要依赖电子邮件或基于短信的身份验证的产品由于容易受到黑客攻击而被排除在此类别之外。同样,仅仅重放密码的产品也不被视为无密码——真正的无密码解决方案在任何阶段都不涉及密码。一些无密码解决方案可能会将符合 FIDO 标准的方法与生物识别身份验证相结合,并且还可能提供后备方法,例如语音、电子邮件或基于 SMS 的身份验证,但这些解决方案仅适用于用户离线或缺乏蜂窝数据访问的情况,而不是主要的身份验证方法。