你能想象有一天訪問各種應(yīng)用時，無需再輸入復(fù)雜密碼就能實現(xiàn)各個平臺的登錄和切換嗎？對于經(jīng)常忘記密碼的用戶來說，無密碼驗證可以說是十分省心了。

其實當(dāng)下無密碼技術(shù)已經(jīng)被廣泛應(yīng)用了，包括微軟、蘋果和Google在內(nèi)的領(lǐng)先科技廠商都在積極開發(fā)一種更先進(jìn)的無密碼登錄技術(shù)和標(biāo)準(zhǔn)，以實現(xiàn)更高的安全性和保護(hù)性。

5月3日，谷歌正式推出Passkey功能，用戶可以用所持有的手機(jī)、電腦、平板等設(shè)備上已有的密碼（PIN碼、指紋、面部等），來代替谷歌賬號的密碼。用戶需要登錄谷歌賬號時，只需解鎖設(shè)備、無需再輸入密碼或進(jìn)行二次驗證。

此前微軟也推出了類似的服務(wù)Authenticator，同樣可以實現(xiàn)生態(tài)內(nèi)的“無密碼登錄”，成為替代傳統(tǒng)密碼驗證技術(shù)的一個重要標(biāo)志。

目前，企業(yè)面臨的最大安全風(fēng)險之一，就是將不安全的密碼技術(shù)作為身份驗證的主要方法。據(jù)2022年《Verizon數(shù)據(jù)泄露事件報告》數(shù)據(jù)顯示，超過80%的數(shù)據(jù)泄露是由于被竊取或破解的賬戶密碼所引發(fā)，但很多用戶并沒有意識到潛在的危險。

因此，不管從合規(guī)角度，還是業(yè)務(wù)安全出發(fā)，無密碼技術(shù)作為一種新興的安全技術(shù)和身份認(rèn)證手段，已成為許多企業(yè)和安全廠商研究和推廣的重點。

那么，到底哪些身份驗證的技術(shù)屬于無密碼技術(shù)？目前企業(yè)采用無密碼技術(shù)又有哪些難點呢？

1.常見的無密碼技術(shù)

一些無密碼驗證方式其實在生活中已經(jīng)有所普及，典型的例子就是面部識別、指紋識別、短信驗證等。

無密碼身份驗證模型的思路很簡單。用戶無需輸入由用戶名或電子郵件地址以及密碼組成的憑據(jù)，而是使用另一種方法來驗證身份信息，常見的無密碼身份驗證包括：

 生物識別 

生物識別登錄已經(jīng)在智能手機(jī)和其他設(shè)備中使用，由唯一的生物識別符（例如指紋）組成。然而，在生物特征技術(shù)改進(jìn)之前，除非與其他選項結(jié)合，否則這可能不是最安全的選擇。

 電子郵件 

輸入電子郵件地址后，就會向該用戶發(fā)送一封包含驗證鏈接的電子郵件。單擊鏈接完成身份驗證并允許訪問。

 令牌或一次性代碼 

用戶會收到令牌或代碼，然后輸入網(wǎng)站或應(yīng)用程序，而不是鏈接。該代碼將附加到會話期間執(zhí)行的所有操作中，并在用戶實時交互時解密，然后在會話終止時銷毀該代碼。

同傳統(tǒng)的密碼口令相比較，無密碼驗證方式在安全性和便捷性上，都要遠(yuǎn)高于傳統(tǒng)復(fù)雜密碼口令。

從安全層面上說，用戶無需在線存儲密碼，即便黑客入侵用戶計算機(jī)，也無法輕易進(jìn)入用戶賬戶。甚至在日常辦公場景下，上鎖的設(shè)備在脫離視線范圍之后，用戶也無需為信息泄露而擔(dān)憂。

在工作場景中，不同平臺的使用和切換在無密碼技術(shù)的加持之下，也會大大提高效率。

有調(diào)查數(shù)據(jù)顯示，全球員工平均每年花費11個小時輸入或重置密碼。對于員工數(shù)成千上萬的大企業(yè)，這直接導(dǎo)致生產(chǎn)力損失超多百萬美元。

因此，無密碼技術(shù)作為一種新興的安全技術(shù)和身份認(rèn)證手段，不僅能大大加強(qiáng)安全問題，也能很大程度上提高用戶體驗。

2.無密碼驗證的問題

實現(xiàn)跨設(shè)備、多操作系統(tǒng)、跨瀏覽器以及生物特征認(rèn)證方式的支持，無密碼驗證看似科技滿滿，從安全性和體驗的角度來看，無密碼驗證還是存在一些限制。

首先，從當(dāng)下最為普及的指紋和人臉識別技術(shù)來看，TouchID和FaceID多年來一直被成功入侵，況且人臉、指紋數(shù)據(jù)作為獨一無二的身份信息，其外泄帶來的風(fēng)險遠(yuǎn)大于普通賬戶密碼泄露帶來的風(fēng)險。

其次，部分無密碼技術(shù)將授權(quán)存儲在云中，基于這種方式下，用戶即便更換手機(jī)也依舊可以無障礙的登錄所有賬戶。但這種做法的風(fēng)險是，當(dāng)云平臺被黑客入侵，那么他們將獲得授權(quán)，用戶所有的賬戶信息容易遭到泄露。

同時，對于企業(yè)來說，啟用無密碼驗證，就意味著需要向一些提供技術(shù)的廠商打開大門，交出用戶私密信息。并且，由于無密碼驗證是依賴于第三方提供商，如果其中第三方一臺服務(wù)器出現(xiàn)故障，則在問題解決之前用戶可能無法訪問帳戶。

除此之外，想要在更多企業(yè)組織中推廣應(yīng)用無密碼技術(shù)并不容易。研究人員發(fā)現(xiàn)，阻礙無密碼登錄技術(shù)應(yīng)用的關(guān)鍵因素，并不是技術(shù)本身的缺陷或限制，而是由于很多企業(yè)中身份和驗證管控的現(xiàn)狀。

在很多企業(yè)中，身份管理和身份驗證仍然是相對獨立的，而很多廣泛使用的應(yīng)用程序在設(shè)計開發(fā)時，并沒有合理考慮如何支持通行密鑰等無密碼登錄驗證新模式。

身份證明（即確定誰是誰）通常是指一個流程，而身份驗證則屬于訪問網(wǎng)絡(luò)、應(yīng)用程序或數(shù)據(jù)資源時，驗證訪問者身份的合法性與真實性。當(dāng)僅僅面對公司員工，這一切沒問題，但面對需要訪問網(wǎng)絡(luò)資源外部承包商、供應(yīng)商或機(jī)器用戶，這個過程就變得比較復(fù)雜。

因此，只有消除身份管理和身份驗證之間的隔斷，無密碼技術(shù)才有希望真正在更多企業(yè)中落地應(yīng)用。

此外，無密碼技術(shù)要真正取代傳統(tǒng)的密碼驗證方法，還必須能夠廣泛適配企業(yè)復(fù)雜的數(shù)字化環(huán)境，包括能夠兼容各種網(wǎng)站應(yīng)用、智能手機(jī)和桌面應(yīng)用程序，同時還要支持?jǐn)?shù)量眾多的操作系統(tǒng)版本和環(huán)境。

這對服務(wù)提供商是一個棘手問題，因為這意味著必須在所有這些環(huán)境中安全、穩(wěn)定、便捷地共享使用密鑰，要實現(xiàn)這種互操作性并不容易。

同時，面向企業(yè)級用戶和面向消費者的無密碼解決方案，在設(shè)計和實施上也會存在巨大差異。

消費級產(chǎn)品主要需求是管理數(shù)百萬個通行密鑰，需要彈性擴(kuò)展能力以支持這種巨大的工作負(fù)載。而企業(yè)組織更希望讓所有員工能夠更安全地在各種設(shè)備、瀏覽器和網(wǎng)站之間實現(xiàn)互操作性，因此需要將密鑰與使用者的身份進(jìn)行強(qiáng)驗證和綁定。

3.新的無密碼解決方案

企業(yè)通常會在平衡安全性和易用性之間做出權(quán)衡，那么是否有一種新的無密碼解決方案，可以在增強(qiáng)用戶體驗的同時確保安全性呢？

目前，分布式數(shù)字身份這一概念已經(jīng)被提出，它也被稱為去中心化身份（Decentralized Identity），簡稱DID。它是將身份注冊數(shù)據(jù)和身份驗證相結(jié)合，使它們密不可分。

DID分布式數(shù)字身份由用戶控制，而不是只是向用戶質(zhì)詢身份驗證因子（密碼、PIN或生物特征）。該驗證因子與存儲在Active Directory或谷歌等身份提供商擁有的中央數(shù)據(jù)庫中所存儲的登錄信息進(jìn)行核對。

這種身份和傳統(tǒng)的帳號相比的最大好處是可以證明某個東西的發(fā)出者。

傳統(tǒng)身份容易被盜用，容易根據(jù)系統(tǒng)漏洞被仿冒，甚至dba都可以篡改數(shù)據(jù)庫。而DID只要守住自己的私鑰，沒有對內(nèi)容簽名，全網(wǎng)都可以輕松驗假。

因此，相對于傳統(tǒng)的的基于PKI的身份體系，基于區(qū)塊鏈的DID數(shù)字身份系統(tǒng)具有保證數(shù)據(jù)真實可信、保護(hù)用戶隱私安全、可移植性強(qiáng)等特征。

舉個例子，當(dāng)用戶需要注冊或登錄網(wǎng)站時，無需輸入用戶名、電子郵箱、密碼之類的口令，只需使用手機(jī)中存儲的用戶DID信息完成與網(wǎng)站DID的雙向驗證。雖然登陸形式看起來沒有發(fā)生任何變化，但與傳統(tǒng)掃碼認(rèn)證方式不同的是，DID中的身份信息由用戶自己掌控。

用戶首先通過二維碼獲得網(wǎng)站DID并進(jìn)行驗證獲得公鑰，再使用公鑰加密請求數(shù)據(jù)，發(fā)送自己的身份信息交由服務(wù)器驗證，若驗證通過，則登陸成功。

通過整個流程可以看出，服務(wù)器并不知道用戶的口令，而且也無法獲得除用戶DID文檔以外的任何信息，從而有效防止數(shù)據(jù)泄露，保護(hù)用戶身份隱私。

再比如，身份認(rèn)證可以說是DID最基本的應(yīng)用了，對于有身份識別(KYC)需求的場景，通過提前將多個機(jī)構(gòu)頒發(fā)的VC與用戶綁定，且錨定到區(qū)塊鏈上，憑借密碼算法，可進(jìn)行分布式驗證，用戶只需獲取一次VC，便可隨時出示使用。

例如員工入職背景調(diào)查，材料在流轉(zhuǎn)過程中極易遭受篡改，且驗證手段較為匱乏，若使用DID解決方案，員工可以在鏈上使用自己的DID標(biāo)識向?qū)W校申請學(xué)歷（學(xué)位）憑證，向前公司申請工作（離職）憑證，現(xiàn)公司只需通過驗證接口對上述憑證真實性進(jìn)行核驗，即可快速完成員工的入職背調(diào)。

目前，伴隨著區(qū)塊鏈等可信技術(shù)的發(fā)展，各大公司、機(jī)構(gòu)已紛紛入局，對分布式數(shù)字身份(DID)的實現(xiàn)展開了更深入的研究探索。

4.結(jié)語

毫無疑問，無密碼技術(shù)應(yīng)用的時代已到來。但是要構(gòu)建企業(yè)級通行密鑰解決方案還需要研究人員繼續(xù)努力。希望2024年的世界密碼日，我們能夠迎來傳統(tǒng)密碼驗證技術(shù)的真正消亡。