如何实现完全无密码

实施 Passkey 是身份验证安全领域的一次巨大飞跃，但这并非旅程的终点。如果您已经部署了 Passkey，可能正在为安全指标的提升而庆祝，但我们究竟该如何从拥有 Passkey 过渡到实现完全无密码的身份验证呢？

Passkey 通过其抗网络钓鱼设计提供了关键的安全优势，它使用与特定域绑定的公钥加密技术，使攻击者无法诱骗用户在欺诈网站上进行身份验证。Passkey 消除了凭证重用，因为每个 Passkey 对于特定服务都是唯一的，这意味着一个服务的泄露不会影响其他服务。此外，它们还对暴力破解攻击免疫，用无法被猜测或破解的加密密钥取代了需要记忆的密码。

然而，一旦用户可以绕过 Passkey 验证，转而使用密码登录，这些强大的优势便会荡然无存。这就引出了一个关键问题：**为什么仅有 Passkey 不足以保证完全的安全？**答案在于，只要密码这扇门还开着，攻击者就会试图闯入。更重要的问题是，**是什么让账户恢复成为一个隐藏的漏洞，足以破坏整个 Passkey 的实施？**最近备受瞩目的安全漏洞事件表明，攻击者正越来越多地将目标从主要身份验证流程转向恢复流程。

本文将引导您完成从实施 Passkey 到实现真正无密码安全的整个旅程，并针对这些关键问题提供实用的解决方案和真实案例。

**真正的无密码身份验证意味着从您的安全架构中彻底移除密码。**在一个无密码系统中，用户在其身份验证旅程的任何环节都无法设置、重置或使用密码。相反，身份验证完全依赖于像 Passkey 这样的加密方法。

许多组织声称自己“无密码”，但实际上仍将密码作为备用选项保留在后台。这并非真正的无密码，而只是“密码可选”。区分这一点至关重要，因为只要密码存在于系统中的任何地方，包括恢复流程，它就仍然是一个可被攻击者利用的漏洞。

真正的无密码安全不仅需要从主要身份验证中消除密码，还要确保恢复过程同样具备抗网络钓鱼的能力。

将密码作为备用选项，会保留所有 Passkey 旨在消除的攻击途径。攻击者只需将他们的网络钓鱼活动转向密码输入，而凭证填充和密码喷洒攻击则可以继续利用从其他泄露事件中窃取的凭证。社交工程依然有效，因为用户仍可能被骗，向伪装的客服人员透露密码。

只要密码存在，它就是最薄弱的环节，一个能完全绕过 Passkey 的抗网络钓鱼安全性的单一入口点。

仅仅关注登录体验也是不够的。一个关键但常被忽视的攻击途径是账户恢复流程。即使已经实施了 Passkey 的组织，如果其恢复过程依赖于像短信一次性密码（SMS OTP）或电子邮件魔法链接这类易受网络钓鱼攻击的方法，它们仍然是脆弱的。

以 2023 年备受瞩目的米高梅国际酒店集团（MGM Resorts）泄露事件为例，攻击者并未攻击主要的身份验证系统，而是通过社交工程利用了账户恢复流程，绕过了所有主要的安全措施。同样，Okta 支持系统的泄露事件也表明，恢复流程可能成为最薄弱的环节，让攻击者能够重置凭证并获得对客户环境的未授权访问。

这些事件都强调了一个至关重要的事实：实施 Passkey 却不保护恢复流程，就像是装了一扇钢门，却把窗户敞开着。

实现真正的无密码身份验证并非一步之遥，而是一段需要精心策划、逐步实施和持续优化的战略旅程：

第一阶段的重点是引入 Passkey 作为一种额外的身份验证方法，同时保留现有的选项作为备用。这个打基础的阶段能让用户有时间去理解和信任这项新技术，同时保留熟悉的方法以减少摩擦。

关键实施步骤：

• 将 Passkey 身份验证集成到您现有的身份验证流程中
• 为新用户和现有用户启用 Passkey 创建功能
• 保留密码和其他身份验证方法作为替代方案
• 跟踪 Passkey 的创建率和使用模式

成功指标：

• 至少创建一个 Passkey 的用户比例超过 50%
• Passkey 创建成功率超过 95%
• Passkey 用于身份验证的初始使用率达到 20-30%

一旦 Passkey 可用，重点便转向推动采用，让 Passkey 成为首选的身份验证方法。此阶段通过战略性的用户互动和优化，将 Passkey 从一个备用选项转变为主要的身份验证选择。

关键实施步骤：

• 在登录流程中将 Passkey 身份验证设为默认选项
• 实施智能提示，鼓励用户在成功登录密码后创建 Passkey
• 通过应用内消息，向用户宣传其在安全和便利性方面的好处
• 为采用 Passkey 提供激励（如更快的结账、独家功能）
• 对不同的消息和用户界面方法进行 A/B 测试，以最大化转化率
• 实施条件访问策略，要求对敏感操作使用 Passkey

成功指标：

• 超过 60% 的活跃用户拥有至少一个 Passkey
• 对于已启用 Passkey 的账户，超过 80% 的登录使用 Passkey
• Passkey 创建失败率低于 2%

这是实现真正安全转型的关键所在：为那些持续使用 Passkey 的用户彻底移除密码。这一阶段通过为已成功采用 Passkey 的用户停用密码，来消除主要的攻击途径。

关键实施步骤：

• 使用智能监控系统分析用户身份验证模式
• 识别那些只在多个支持 Passkey 的设备上使用 Passkey 的用户
• 提供停用密码的选项，并清晰传达其安全优势
• 验证备用 Passkey 的可用性（云同步或多设备）

成功指标：

• 超过 30% 的符合条件的用户自愿移除密码
• 账户锁定率未出现增长
• 用户满意度得分保持或有所提高

最后阶段旨在解决最后一个漏洞：将账户恢复转变为一个抗网络钓鱼的流程。此阶段确保恢复流程的安全级别与主要身份验证相匹配，从而防止后门攻击。

关键实施步骤：

• 实施包含至少一个抗网络钓鱼因素的多因素身份验证
• 可用的抗网络钓鱼因素：
  • 备用 Passkey：存储在辅助设备或云服务中的恢复 Passkey，可提供身份的加密证明（这是目前最广泛可用的选项）。
  • 数字凭证 API (Digital Credentials API)：W3C 标准，用于从可信提供商处获取经加密验证的身份断言（这是一项新兴技术，尚未普及）。
  • 硬件安全密钥：注册为恢复因素的物理 FIDO2 令牌，无法被网络钓鱼或复制（这需要用户购买并维护物理设备）。
  • 带活体检测的身份证件验证：将政府颁发的身份证件扫描与实时生物特征行为相结合，以证明用户在场。

关于恢复选项的说明： 尽管数字凭证 API 和硬件安全密钥提供了强大的安全性，但它们尚未被广泛采用。前者仍是新兴技术，后者则需要用户购买物理设备。

当备用 Passkey 不可用时，带活体检测的身份证件验证就成了一个可行的替代方案。尽管可能存在绕过活体检测的方法，但与传统的 OTP（可通过网络钓鱼、SIM 卡交换或中间人攻击轻松拦截）相比，这些方法仍提供了明显更强的安全性。

成功指标：

• 100% 的恢复流程包含抗网络钓鱼因素
• 通过恢复流程成功接管账户的事件为零
• 恢复完成率保持在 90% 以上

无密码运动正在整个科技行业中获得发展势头，各大领先公司都在逐步淘汰密码。

一些公司已经在其内部运营中实现了完全的无密码化。Okta、Yubico 和 Cloudflare 内部已基本实现零密码使用，其登录流程完全不接受密码。

科技巨头 Google、Apple、Microsoft 和 X 正在积极弃用密码，但尚未完全淘汰。他们的做法是在转型期间平衡安全改进与用户选择。

Google 采取了积极的姿态，默认对所有账户开启“尽可能跳过密码”选项，使 Passkey 成为首选的身份验证方法，同时仍允许用户在需要时选择退出。这种“选择退出”的方法为无密码化创造了强劲的动力，同时为尚未准备好转型的用户保留了灵活性。

Microsoft 更进一步，允许用户如今就从他们的账户中完全移除密码，并计划在未来“最终完全移除对密码的支持”。这个清晰的路线图向用户表明，密码的时代已经屈指可数，从而鼓励早期采用无密码方法。

Apple 已在其整个生态系统中集成了 Passkey，并积极推广其使用，尽管 Apple ID 密码仍然作为备用选项可用。他们的方法利用了 Apple 设备间的无缝同步，使 Passkey 的采用尽可能地顺畅无阻。

这些公司并没有强制立即改变，但它们发出的信息很明确：一旦采用率达到临界规模，密码终将消失。他们的策略包括将 Passkey 设为默认选项，教育用户了解其好处，并逐步减少密码的功能。

移除密码的决定不应仓促或一概而论。相反，我们应采纳一种数据驱动的渐进式方法，综合考虑用户行为、设备能力和风险状况。

如今正遭受严重网络钓鱼攻击的高风险行业应立即开始其无密码转型，但仍需遵循一个渐进、战略性的推广计划：

• 银行与金融机构： 凭证盗窃的主要目标。对于欧洲银行而言，Passkey 也符合 PSD2 强客户认证 (SCA) 的要求，提供了抗网络钓鱼的多因素认证 (MFA)，既满足了法规合规性，也提升了用户体验。
• 支付提供商与金融科技公司： 由于能直接接触客户资金，使其成为有组织网络犯罪的诱人目标。
• 加密货币交易所： 交易的不可逆性意味着被盗凭证会导致永久性损失。
• 医疗保健与保险业： 既面临合规要求，也面临医疗身份盗窃带来的患者安全风险。
• 政府与关键基础设施： 成为民族国家行为者利用复杂鱼叉式网络钓鱼活动攻击的目标。

**对于这些组织而言，立即采取行动至关重要，但成功仍然需要一个有条不紊、循序渐进的推广方法。**从今天开始，但要进行战略性推广，以确保高采用率并避免用户被锁定账户。

从一个较小的子群体开始： 从那些表现出持续使用 Passkey 的用户开始您的无密码转型。这些早期采用者将帮助您在更广泛部署之前发现潜在问题。

分析用户行为模式：

• 登录频率和所用方法
• 设备类型和 Passkey 兼容性
• 失败的身份验证尝试
• 恢复流程的使用情况
• 跨设备身份验证模式

根据这些模式，符合停用密码条件的用户：

• 持续通过 Passkey 进行身份验证——表明他们对该技术感到舒适
• 在多个设备上使用 Passkey——表明他们有备用访问方法
• 在过去 30-60 天内未使用过密码或恢复流程——表明他们不依赖于基于密码的身份验证

Corbado 提供了一个全面的平台，旨在引导组织完成上述无密码之旅的所有四个阶段。从最初的 Passkey 实施到实现完全消除密码，Corbado 的解决方案处理了技术上的复杂性，同时提供了成功推动用户采用所需的工具。

阶段一和阶段二的支持： Corbado 提供与现有身份验证堆栈的无缝 Passkey 集成、最大化采用率的智能提示，以及用于跟踪 Passkey 创建和使用模式的详细分析。该平台的 Passkey Intelligence 功能会根据设备能力和用户行为自动优化用户体验，确保顺利引导。

阶段三和阶段四的实施： 对于准备完全移除密码的组织，Corbado 能根据用户准备情况逐步停用密码，同时保持安全、抗网络钓鱼的恢复流程。

通过处理跨平台兼容性、备用机制和用户体验优化，Corbado 将无密码转型的时间从数年缩短到数月，使组织能够专注于其核心业务，同时实现抗网络钓鱼的身份验证。

通往真正无密码身份验证的旅程，回答了我们开头提出的两个关键问题：

**为什么仅有 Passkey 不足以保证完全的安全？**因为安全性取决于其最薄弱的环节。只要密码仍然可用，即使只是作为备用选项，攻击者也会通过网络钓鱼、凭证填充或降级攻击来针对它们。系统中的每一个密码都会破坏 Passkey 的抗网络钓鱼优势。

**是什么让账户恢复成为一个隐藏的漏洞？**恢复流程通常是被遗忘的后门。正如米高梅和 Okta 的泄露事件所显示的，攻击者越来越多地通过利用较弱的恢复方法（如短信 OTP 或电子邮件魔法链接）来绕过强大的 Passkey 实施。这就像装了一扇钢门，却把窗户敞开着。

真正的无密码安全需要完成整个旅程：实施 Passkey、推动采用、完全移除密码，并用抗网络钓鱼的方法来保护恢复流程。只有关上所有密码之门，包括那些隐藏在恢复过程中的门，组织才能实现真正安全的身份验证。