如果有一天访问各种应用时，无需再输入复杂密码，就能实现各个平台的登录和切换，那对于经常忘记密码的用户来说，是非常省心了。无密码技术作为一种新兴的安全技术和身份认证手段，已经成为许多企业和安全厂商研究和推广的重点，包括微软、苹果和Google在内的领先科技厂商都在积极开发一种更先进的无密码登录技术和标准，以实现更高的安全性和保护性。

5月3日，谷歌正式推出Passkey功能，用户可以用所持有的手机、电脑、平板等设备上已有的密码（PIN码、指纹、面部等），来代替谷歌账号的密码。用户需要登录谷歌账号时，只需解锁设备、无需再输入密码或进行二次验证。此前微软也推出了类似的服务Authenticator，同样可以实现生态内的“无密码登录”，成为替代传统密码验证技术的一个重要标志。

什么是无密码技术？

无密码技术是一种可以替代用户账号和密码认证方法的技术，它通过生物识别、多因素认证、基于硬件设备的认证等方法来实现身份验证和授权，以提高账号的安全性和用户体验。无密码技术的出现，可以减少由于密码泄露、用户的疏忽或恶意攻击等因素导致的安全问题，其中无密码技术的最大优势则在于解决了密码泄漏这一核心问题。

根据现有科技水平与行业公开信息得知，常见的无密码技术包括人脸识别、指纹识别、声纹识别、虹膜识别、生物特征识别等。

在2021年，微软宣布所有用户现可从其帐户中完全删除密码，同时提高安全性。微软副总裁 Vasu Jakkal 表示，“近年来，我们一直都在强调无密码机制的重要性。今天我在这里很高兴地向大家宣布，这项愿景终于有了实质性进展。从今天开始，您可以将你微软账户中的密码彻底删除。”对于这么做的原因，微软表示单纯的密码机制已经成为了安全系统的软肋，每年仅仅因为这个原因发生的相关攻击就多达 180 亿次，约每秒 579 次。

去年6月，苹果也在官网发布公告《关于通行密钥的安全性》，里面讲到：通行密钥是密码的一种替代形式。通行密钥的登录速度更快，用起来更简单，并且安全性得到大幅提高。通行密钥是密码的一种替代形式，旨在为各种网站和 App 提供一种更安全快捷的免密登录体验。与密码不同，通行密钥是一种基于标准的技术。它可以抵御网络钓鱼，始终具有出色的安全性，并且从设计上避免了机密的共享。它简化了各种 App 和网站的帐户注册过程，易于使用，并且适用于所有 Apple 设备，甚至是近距离范围内的非 Apple 设备。

无密码登录的问题

实现跨设备、多操作系统、跨浏览器以及生物特征认证方式的支持，无密码验证看似科技满满，从安全性和体验的角度来看，无密码验证还是存在一些限制。首先，从当下最为普及的指纹和人脸识别技术来看，TouchID 和 FaceID多年来一直被成功入侵，况且人脸、指纹数据作为独一无二的身份信息，其外泄带来的风险远大于普通账户密码泄露带来的风险。其次，部分无密码技术将授权存储在云中，基于这种方式下，用户即便更换手机也依旧可以无障碍的登录所有账户。但这种做法的风险是，当云平台被黑客入侵，那么他们将获得授权，用户所有的账户信息容易遭到泄露。

同时，对于企业来说，启用无密码验证，就意味着需要向一些提供技术的厂商打开大门，交出用户私密信息。并且，由于无密码验证是依赖于第三方提供商，如果其中第三方一台服务器出现故障，则在问题解决之前用户可能无法访问帐户。

在传统密码口令场景里，重设密码虽然烦人，但在某些情况下这样做可能更方便。而使用无密码登录，用户必须确保用于验证账户的信息同步更新，比如绑定某账户的手机号和邮箱要同步保持更新。对大多数网站而言，基于无密码技术的身份验证方法代表着安全的进步：用户无需再想新的密码，也不存在用户重用密码的风险。对于用户，无密码验证提供了一种相当简单的身份验证解决方案。

当前无密码技术尚处于不断摸索和完善过程中，许多方面也存在一些争议，但业界很多人对此保持乐观。全面无密码登录的科技时代也许有一天会到来，但是要等到信息不被窃取的那一天恐怕遥遥无期。从安全角度上看，依赖任何单一因素进行身份验证，无论是否使用密码，总是存在一定程度的风险。其实从过往的众多数据泄露事件中不难看出，最薄弱的环节往往不在机器之间的验证和信任，不在算法与加密的漏洞，更多是在人身上，很多用户其本身的安全意识就有待提高。

无密码解决替代方案

企业通常会在平衡安全性和易用性之间做出权衡，那么是否有一种新的无密码解决方案，可以在增强用户体验的同时确保安全性呢？

目前，分布式数字身份这一概念已经被提出，它也被称为去中心化身份（Decentralized Identity），简称DID。它是将身份注册数据和身份验证相结合，使它们密不可分。DID分布式数字身份由用户控制，而不是只是向用户质询身份验证因子（密码、PIN或生物特征）。该验证因子与存储在Active Directory或谷歌等身份提供商拥有的中央数据库中所存储的登录信息进行核对。

这种身份和传统的帐号相比的最大好处是可以证明某个东西的发出者。传统身份容易被盗用，容易根据系统漏洞被仿冒，甚至dba都可以篡改数据库。而DID只要守住自己的私钥，没有对内容签名，全网都可以轻松验假。因此，相对于传统的的基于PKI的身份体系，基于区块链的DID数字身份系统具有保证数据真实可信、保护用户隐私安全、可移植性强等特征。

举个例子，当用户需要注册或登录网站时，无需输入用户名、电子邮箱、密码之类的口令，只需使用手机中存储的用户DID信息完成与网站DID的双向验证。虽然登陆形式看起来没有发生任何变化，但与传统扫码认证方式不同的是，DID中的身份信息由用户自己掌控。用户首先通过二维码获得网站DID并进行验证获得公钥，再使用公钥加密请求数据，发送自己的身份信息交由服务器验证，若验证通过，则登陆成功。通过整个流程可以看出，服务器并不知道用户的口令，而且也无法获得除用户DID文档以外的任何信息，从而有效防止数据泄露，保护用户身份隐私。

再比如，身份认证可以说是DID最基本的应用了，对于有身份识别(KYC)需求的场景，通过提前将多个机构颁发的VC与用户绑定，且锚定到区块链上，凭借密码算法，可进行分布式验证，用户只需获取一次VC，便可随时出示使用。例如员工入职背景调查，材料在流转过程中极易遭受篡改，且验证手段较为匮乏，若使用DID解决方案，员工可以在链上使用自己的DID标识向学校申请学历（学位）凭证，向前公司申请工作（离职）凭证，现公司只需通过验证接口对上述凭证真实性进行核验，即可快速完成员工的入职背调。

目前，伴随着区块链等可信技术的发展，各大公司、机构已纷纷入局，对分布式数字身份(DID)的实现展开了更深入的研究探索。

文章来源： 科技云报道，天智软件，CSDN博客