什麼是無密碼驗證？

什麼是無密碼驗證？

無密碼驗證是一種無需輸入密碼即可登入帳戶的方式。可以使用以下替代方案代替密碼（密碼很難記住且容易被盜）：

• 指紋或面部識別等生物特徵辨識驗證，例如 Apple Face ID。
• 單次驗證碼或 Magic Links，這是直接傳送到使用者手機或電子郵件的驗證碼或連結。
• 產生單次驗證碼的驗證器應用程式，如 Google 或 Microsoft Authenticator。
• 插入電腦或在手機上點按的實體權杖，如 YubiKey。

無密碼驗證如何運作？

在授予使用者存取權限之前，驗證系統會驗證使用者的特徵，確保該使用者是其聲稱的身分。這些特徵也稱為「驗證因素」，包括：知識（使用者知道的東西）、所有物（使用者擁有的東西）和固有特質（使用者本身）。無密碼驗證使用三種驗證因素中的一種或兩種，例如，使用生物特徵辨識技術（使用者本身）或硬體金鑰（使用者擁有的東西）。

以下是其運作方式的範例：

1. 首先，使用者設定無密碼登入方法，例如登記他們的指紋，連結電子郵件以產生 Magic Links，或者將實體金鑰連接到他們的電腦或手機。
2. 該使用者登入。根據使用的驗證方法，這部分略有不同。例如，就生物特徵辨識技術而言，通常是使用指紋、面部或聲音來登入。系統將檢查並匹配已登記的生物特徵。而對於使用硬體權杖或實體金鑰來登入的情況，使用者需要插上或點按實體金鑰來證明自己是本人。然後，金鑰將產生一個唯一代碼，用於驗證其身分。
3. 登入時，系統將檢查用於匹配存檔內容的方法（指紋、來自使用者應用程式的代碼等），如果匹配，則使用者將被授予存取其裝置或帳戶的權限。
4. 為了提高安全性，無密碼驗證有時會與其他方法結合使用，例如在使用指紋的同時向使用者手機傳送代碼。這有助於增加另一層保護。

無密碼驗證有什麼好處？

無密碼驗證的好處可能包括降低網路釣魚風險、改善使用者體驗以及降低企業成本。

• 增強安全性：無密碼驗證可降低網路釣魚、駭客入侵和認證盜竊的風險。如果本身就沒有密碼，就不會因資料外洩事件而導致密碼外泄，那麼誘騙使用者洩露認證的可能性就會減少。
• 改善使用者體驗：使用者可以透過指紋、面部掃描或點擊方式登入，這比記住複雜的密碼要容易得多，速度也更快。
• 降低企業成本：企業使用無密碼驗證時，可以減少與密碼管理相關的 IT 支援和維護成本，並簡化使用者失去存取權限時的帳戶復原流程。

無密碼驗證有哪些挑戰？

儘管無密碼驗證有許多好處，但它仍然會帶來一些挑戰。 例如，使用者往往期望在多個裝置上登入雲端應用程式，但無密碼驗證會使這更具挑戰性。將各種驗證方法與現有系統整合可能會導致相容性問題，而且並非所有應用程式都支援無密碼登入。使用者採用可能是另一個障礙，因為使用者會經歷一個學習曲線，且必須適應新的登入方法。 無密碼驗證也會帶來風險，例如在裝置丟失或被盜時，敏感的生物特徵辨識資訊可能會丟失。重新頒發丟失的權杖可能很困難或成本高昂，而且並不能解決所有安全問題。攻擊者可能會轉向其他方法，如社交工程、中間人攻擊，甚至實體裝置盜竊。實施無密碼驗證可能還會產生前期成本以及持續的維護成本。

Cloudflare 如何實作無密碼驗證？

Cloudflare One 平台具有統一的安全功能，包括無密碼驗證、單次 PIN 登入、SSO 整合和授權 Cookie。Cloudflare 會檢查每個 HTTP 請求，以確保該請求具有有效的 CF 授權 Cookie。進一步瞭解 Cloudflare One。