無密碼身份驗證技術

文·圖/沈臻懿

傳統密碼驗證技術的弊端

“互聯網+”時代，用戶身份驗證是一種極為普遍的應用場景。無論是網站登錄、App注冊，抑或網銀操作等，幾乎都依賴于賬號密碼的驗證。但對于用戶體驗而言，密碼管理無疑讓人有些“抓狂”。面對各種平臺、賬戶的密碼要求——有的須加入特殊符號，有的須同時有數字、字母和符號存在，有的要求區分大小寫，有的還不允許連續數字存在……用戶往往會因密碼過多且難以記憶而倍感苦惱！倘若為了好記，設置的密碼過于單一、簡單，則可能因其防御能力弱而導致陷入“撞庫”“釣魚”“暴力破解”等網絡攻擊的風險。

基于移動生物識別等技術對登錄者予以強身份信息驗證，可確認正在使用該賬號的登錄者即為用戶本人

當前主要的幾類密碼驗證方式中，最為常見的就是作為靜態方式的傳統賬號密碼驗證。由于此類密碼均可自行進行設定，用戶通常會選擇方便記憶的密碼，如采用出生年月、電話號碼等。但這一模式下的密碼安全性較低，非常容易被不法分子暴力破解。有的用戶為了使用方便，往往會在多個網站、平臺之間，使用同一套密碼。這一方式看似便于記憶，一旦被不法分子竊取，即可用于“撞庫”（黑客通過收集互聯網已泄露的用戶和密碼信息，生成對應的字典表，嘗試批量登錄其他網站后，得到一系列可以登錄的用戶）。

除靜態密碼外，諸如驗證碼、動態口令等皆屬于動態密碼驗證方式。就驗證碼來說，若用戶手機被惡意應用軟件操控而獲取權限或短信后，即可在用戶不知情的狀況下讀取動態驗證碼，進而導致用戶身份被盜用。由于不同機構之間都有著自身專屬的一套動態口令設備，機構與機構之間的工具并不通用，這就令用戶往往需要同時攜帶多個口令設備，給使用帶來不便。

威瑞森通信公司（Verizon）發布的《2022年數據泄露調查報告》（DBIR）顯示，當前82%的數據泄露都與人為失誤或網絡釣魚、被盜憑證等有關。作為登錄憑證的密碼已然成為絕大部分數據安全事件的“導火索”。究其根源，密碼驗證本質上是不安全的。解決問題的關鍵，還是要通過使用更為安全且便捷的替代技術以實現去密碼化。

何為無密碼身份驗證技術

無密碼身份驗證（Password-less Authentication），即：無須密碼亦能對用戶身份進行證明。需要注意的是，“無密碼”與“沒有密碼”之間并不能畫上等號。“無密碼”強調的是用戶不再使用密碼方式來登錄網站、App或電子設備，而是換用安全系數遠高于密碼驗證的操作方式進行登錄。理想狀態下，無密碼身份驗證技術能利用全新的身份驗證方式，來全面替代現有的密碼驗證模式。

人工智能時代，用戶自身即是密鑰。這種無密碼身份驗證技術可以看成是一種點對點的認證。用戶設備發起身份驗證的請求，App等平臺、程序收到請求后，用戶設備支持多種方式的身份驗證并核驗通過。基于移動生物識別等技術對登錄者予以強身份信息驗證，以確認正在使用該賬號的登錄者即為用戶本人，從而規避傳統密碼所存在的安全隱患。相較于傳統密碼身份驗證而言，無密碼身份驗證技術“自身即密鑰”的特點，不僅管理成本低廉，且不會出現遺失或遺忘的狀況。同時，不可復制的自身密鑰信息，也使得造假難度大幅提升，密碼管理中的安全性能尤為凸顯。

多重保護的驗證技術，進一步壓縮了不法之徒的違法犯罪空間

無密碼身份驗證技術不僅管理成本低廉，且不會出現遺失或遺忘的狀況

人工智能時代，用戶自身即密鑰，這種無密碼身份驗證技術可以看成是一種點對點的認證

正因這一技術的普及，使得用戶不再需要記憶冗長、復雜的密碼來驗證身份；通過身體的生物特征要素，或通過身份驗證器發送到自身設備或應用程序上的魔術鏈接（Magic links）、一次性訪問密碼等占有要素進行驗證便可順利登錄系統。由于沒有密碼可供竊取或者破解，不法分子也很難再利用密碼來獲取其想要的網絡數據。原先因密碼泄露而導致的網絡安全事件等問題，同樣會因密碼的消失而不復存在。

此后，無密碼身份驗證技術中，有一種名為多因素身份驗證（Multi-factor Authentication，MFA）的數字身份認證系統受到了大家的關注。其利用了用戶的相應特征及要素，通過多個身份認證的查驗點來實現安全保護。簡單來說，我們可以將其視為一道同時帶有鎖具、虹膜掃描以及一次性訪問密碼的“防盜門”。如果單單只有鎖具，其就如同傳統密碼一般容易被“撬”。而對于虹膜掃描的信息復制以及一次性訪問密碼的攔截和破解，其難度就大得多。這種多重保護的驗證技術，也進一步壓縮了不法之徒的違法犯罪空間。

技術迭代中的物聯網應用場景

無密碼身份驗證技術的發展，為企業、用戶等帶來了更高級別的安全體驗，其自身也一直處于發展變化中，從最初的1∶1認證，逐漸發展至1∶N認證，并隨之進入數字—物理身份的無縫銜接時代。

無密碼身份驗證技術所需的特征信息采集，隨著三維重建、AI技術、圖像增強等手段的介入，已從最初接觸式的采集識別方式，轉型為了非接觸模式。用戶只需在設備前伸出自己的手，即可完成包括單指、全指、掌紋、指靜脈、掌靜脈等在內的多種特征信息的秒級采集和毫秒級的準確識別。

此外，隱私信息保護也是無密碼身份驗證技術發展過程中的一大被關注的問題。當前，主流的信息應用都是在平臺上保留原始信息或保存模板。這一方式對于隱私保護而言并不友好。為此，就需要將信息識別與密碼學工具予以深度融合，從而實現不可逆、可撤銷、非關聯的強隱私安全性能。

當前，新一代的無密碼身份驗證技術已較為成熟，可在十數億的庫容下實現高精度、高性能的信息識別。為了更好地實現該技術的場景應用，在物聯網的加持下，將數字世界和物理世界的身份予以鏈接，便可提供更為安全、便捷的身份驗證服務。