為了保護應用和數據的安全，我們每個人都在使用十多個甚至近百個密碼。如果用戶需要記住數百個用戶名和密碼組合，還要定期更改，他們往往會重復使用相同的組合。這使得網絡犯罪分子更容易得逞，Verizon最近的《數據泄露調查報告》就發現，61%的泄露涉及登錄信息泄露。

將基于密碼的身份驗證換成無密碼登錄驗證(使用生物特征等因子來實現驗證)被認為是有效應對近期網絡攻擊激增的解決方案，人們期待無密碼技術帶來易用性、安全性和廣泛性等多維度的變革，讓使用者獲得更好的使用體驗和安全防護?？墒菗豁椬钚抡{查顯示，目前近50%的受訪企業未采用過無密碼登錄技術，22%的企業組織不相信該技術的實際應用效果。無密碼登錄這項新興技術的落地應用似乎走進了“死胡同”。

研究人員發現，阻礙無密碼登錄技術應用的關鍵因素并不是由于技術的限制或缺陷，而是由于企業中身份和驗證管控的現狀。很多企業中，身份管理(證明)和身份驗證仍然是相對獨立的，而很多廣泛使用的應用程序在設計開發時，并沒有合理考慮如何支持無密碼登錄。

身份證明和身份驗證常常被混淆，但兩者是獨立的概念。身份證明(即確定誰是誰)通常是指一個流程，而身份驗證則屬于訪問網絡、應用程序或數據資源時，驗證訪問者身份的合法性與真實性。

身份證明通常是組織入職流程的一部分：新員工憑借為其ID所拍的照片，收到第一個密碼——這通常由人力資源部門或該部門在IT人員的協助下來處理。人力資源部門負責手動驗證那些新員工的真實身份，通過外貌相似或驗證政府頒發的ID來驗證。僅僅面對公司員工，這一切沒問題，但面對需要訪問網絡資源外部承包商、供應商或機器用戶，這個過程就變得比較復雜。

身份證明需要根據政府頒發的文件和生物特征來驗證某人的身份，這個流程對于身份驗證過程至關重要。但一旦注冊系統或應用程序的工作完成，證明身份的流程仍與身份驗證工作流程分開來。每當用戶登錄到受保護的資源或應用系統，他都需要接受某種身份驗證(比如密碼、PIN或生物特征)的質詢，而這種驗證不再與用戶的實際身份相關聯。

比如說，現在的生物特征驗證仍然不能取代密碼，盡管它降低了用戶登錄系統的復雜性，但是如果密碼被盜，網絡犯罪分子仍然可以繞過生物特征驗證系統。此外，如果生物特征信息存儲在身份驗證數據庫中，它們也會成為黑客攻擊的高危目標。

無密碼驗證是一種解決身份安全、隱私和用戶體驗等問題的有效辦法。但是，只有借助有效的技術手段，以解決身份證明和身份驗證之間的隔斷，無密碼驗證才有希望真正落地應用。

分布式數字身份這一概念已經被提出，它將身份注冊數據和身份驗證相結合，使它們密不可分。分布式數字身份由用戶控制，而不是只是向用戶質詢身份驗證因子(密碼、PIN或生物特征)，該驗證因子與存儲在Active Directory或谷歌等身份提供商擁有的中央數據庫中所存儲的登錄信息進行核對。比如說，FIDO2和NIST將私鑰存儲在安全飛地/可信平臺模塊(TPM)芯片中，只有實時生物特征與注冊時獲取的生物特征相匹配，才能訪問私鑰。其他方法將用戶的私鑰存儲在加密的區塊鏈中，增添了安全系數。

參考鏈接：

https://www.darkreading.com/operations/why-passwordless-is-at-an-impasse