無密碼身份驗證是多重身份驗證 (MFA) 的一種形式,無需密碼。無密碼身份驗證不依賴使用者知道的內容(例如密碼),而是使用替代方法來驗證使用者的身份。這些方法可能包括使用者擁有的東西(例如受信任的行動裝置或硬體安全金鑰)和使用者本身的東西(例如指紋掃描)。 無密碼身份驗證的常見用例包括員工(員工)身份驗證和客戶身份驗證。由於許多人忘記或重複使用弱密碼,組織採用無密碼身份驗證來增強使用者體驗,從而降低密碼外洩帶來的安全風險,並透過減輕服務台處理頻繁密碼重設的負擔來降低密碼管理成本。 對於要分類為無密碼身份驗證的產品,它必須使用符合 FIDO 的身份驗證器應用程式、安全金鑰/卡片或類似技術對使用者進行身份驗證。主要依賴電子郵件或基於簡訊的身份驗證的產品由於容易受到駭客攻擊而被排除在此類別之外。同樣,僅僅重播密碼的產品也不被視為無密碼——真正的無密碼解決方案在任何階段都不涉及密碼。一些無密碼解決方案可能會將符合FIDO 標準的方法與生物識別身份驗證相結合,並且還可能提供後備方法,例如語音、電子郵件或基於SMS 的身份驗證,但這些解決方案僅適用於用戶離線或缺乏蜂窩數據存取的情況,而不是主要的身份驗證方法。