如何实现完全无密码化

企业 Passkey 白皮书. 面向 passkey 项目的实用指南、推广模式和 KPI。

关键事实

真正的无密码身份验证需要从所有流程（包括恢复）中消除密码，而不仅仅是将通行密钥作为一种备选登录方法。
这一旅程跨越四个阶段：添加通行密钥、将采用率提高到活跃用户的 60% 以上、完全移除密码，以及使用防网络钓鱼的方法保护恢复流程。
账户恢复后门经常被忽视：2023 年美高梅国际酒店集团（MGM Resorts）的数据泄露事件通过社会工程学利用了恢复流程，绕过了所有主要的身份验证措施。
作为后备选项保留的密码，保留了所有现有的攻击媒介，包括网络钓鱼、撞库和社会工程学，从而抵消了通行密钥防网络钓鱼的安全优势。
Okta、Yubico 和 Cloudflare 已经在内部实现了完全消除密码；谷歌（Google）和微软（Microsoft）正在积极弃用密码，但尚未完全将其移除。

1. 简介：为什么实施通行密钥不是终点#

实施通行密钥代表了身份验证安全性向前迈出的一大步，但这并不是整个旅程的终点。如果您已经部署了通行密钥，您可能正在为安全指标的提升而庆祝，但是您如何才能实际地从拥有通行密钥过渡到实现完全的无密码身份验证？

通行密钥通过其防网络钓鱼设计（使用绑定到特定域的公钥加密），提供了关键的安全优势，使得攻击者无法欺骗用户对虚假网站进行身份验证。由于每个通行密钥对特定服务都是唯一的，它们消除了凭证重用，这意味着某一项服务遭到破坏不会影响其他服务。此外，通过用无法被猜测或破解的加密密钥替换记忆的秘密，它们提供了对暴力破解攻击的免疫力。

然而，一旦用户可以绕过通行密钥身份验证并使用密码登录，这些强大的优势就会荡然无存。这就提出了一个关键问题：为什么单靠通行密钥不足以实现完全的安全性？ 答案在于，只要密码之门保持敞开，攻击者就会试图从中穿过。更重要的问题是，是什么让账户恢复成为可能破坏您整个通行密钥实施的隐藏漏洞？ 最近引人注目的数据泄露事件表明，攻击者越来越多地将目标对准恢复流程，而不是主要的身份验证。

本文将通过实际的解决方案和现实世界的例子，指导您完成从实施通行密钥到实现真正的无密码安全性的完整旅程，解决这些关键问题。

“无密码”真正意味着什么？#

真正的无密码身份验证意味着从您的安全架构中完全消除密码。 在无密码系统中，用户无法在其身份验证旅程的任何时候设置、重置或使用密码。相反，身份验证完全依赖于通行密钥等加密方法。

许多组织声称是“无密码”的，但仍在后台维护密码作为后备选项。这不是真正的无密码，而只是密码可选。这种区别很重要，因为只要密码存在于您系统中的任何地方（包括恢复流程），它们就仍然是攻击者将成为目标的、可被利用的漏洞。

2. 破坏通行密钥安全性的两个后门#

真正的无密码安全需要从主要的身份验证中消除密码，并确保恢复过程具有同等的防网络钓鱼能力。

2.1 为什么将密码作为后备选项会带来重大的安全风险#

将密码作为后备选项保留了通行密钥旨在消除的所有攻击媒介。攻击者只需转移他们的网络钓鱼活动以将目标对准密码输入，而撞库和密码喷洒攻击则继续使用从其他数据泄露事件中窃取的凭证。社会工程学仍然有效，因为用户仍然可能被欺骗向虚假的客服人员泄露密码。

只要密码存在，它们仍然是最薄弱的环节，是一个完全绕过通行密钥防网络钓鱼安全性的单一入口点。

2.2 账户恢复后门#

仅仅关注登录体验也是不够的。一个关键但经常被忽视的攻击媒介是账户恢复流程。如果账户恢复过程依赖于短信一次性密码（SMS OTP）或电子邮件魔法链接等可被网络钓鱼的方法，即使是实施了通行密钥的组织也仍然很脆弱。

考虑一下 2023 年备受瞩目的美高梅国际酒店集团数据泄露事件，其中攻击者没有将目标对准主要身份验证系统，而是通过社会工程学利用了账户恢复过程，绕过了所有主要的网络安全措施。同样，Okta 支持系统数据泄露事件表明，恢复流程如何成为最薄弱的环节，允许攻击者重置凭证并获得对客户环境的未经授权的访问。

这些事件强调了一个关键事实：在不保护恢复流程的情况下实施通行密钥，就像安装了钢门却不关窗户。

3. 无密码化旅程#

实现真正的无密码身份验证不是一个单一的步骤——它是一个需要仔细规划、周密的产品设计和战略、逐步实施以及持续优化的战略旅程：

3.1 阶段 1：添加通行密钥#

第一阶段侧重于引入通行密钥作为额外的身份验证方法，同时保留现有选项作为后备。这个建立基础的阶段使用户有时间了解和信任新技术，同时保持熟悉的方法可用，以减少摩擦。

关键实施步骤：

将通行密钥身份验证集成到您现有的身份验证流程中
为新用户和现有用户启用通行密钥创建
保持密码和其他身份验证方法作为替代方案
跟踪通行密钥的创建率和使用模式

成功指标：

创建了至少一个通行密钥的用户百分比超过 50%
通行密钥创建成功率超过 95%
使用通行密钥进行身份验证的初始比例达到 20-30%

3.2 阶段 2：提高通行密钥采用率#

一旦通行密钥可用，重点将转移到推动采用并使通行密钥成为首选的身份验证方法。通过战略性的用户参与和优化，此阶段将通行密钥从替代选项转变为主要身份验证选择。

关键实施步骤：

在登录流程中将通行密钥身份验证设置为默认选项
实施在成功使用密码登录后鼓励创建通行密钥的智能提示
通过应用内消息传递教育用户了解安全和便利优势
提供采用通行密钥的激励措施（更快的结账、独家功能）
对不同的消息传递和用户界面方法进行 A/B 测试，以最大限度地提高转化率
实施要求对敏感操作使用通行密钥的条件访问策略

成功指标：

60% 以上的活跃用户至少拥有一个通行密钥
80% 以上的登录在启用通行密钥的账户上使用通行密钥
通行密钥创建失败率低于 2%

3.3 阶段 3：实现无密码化#

这就是真正发生安全转变的地方：对于持续使用通行密钥的用户，完全移除密码。通过停用已证明成功采用通行密钥的用户的密码，此阶段消除了主要的攻击媒介。

关键实施步骤：

使用智能监控系统分析用户身份验证模式
识别在使用多个支持通行密钥的设备独家使用通行密钥的用户
通过明确的安全优势信息提供密码停用功能
验证备用通行密钥的可用性（云同步或多个设备）

成功指标：

30% 以上的合格用户自愿移除密码
账户锁定率没有增加
用户满意度得分保持或提高

3.4 阶段 4：防网络钓鱼的恢复#

最后一个阶段解决最后的漏洞：将账户恢复转变为防网络钓鱼的过程。此阶段确保恢复流程与主要身份验证的安全级别相匹配，从而防止后门攻击。

关键实施步骤：

使用至少一个防网络钓鱼因素实施多因素身份验证
可用的防网络钓鱼因素：
- 备用通行密钥：存储在辅助设备或云服务上的恢复通行密钥，提供身份的加密证明（最广泛可用的选项）
- 数字凭证 API（Digital Credentials API）：用于来自受信任提供商的密码验证身份断言的 W3C 标准（新兴技术，尚未广泛普及）
- 硬件安全密钥：注册为恢复因素的物理 FIDO2 令牌，不能被网络钓鱼或复制（要求用户购买和维护物理设备）
- 带有活体检测的身份证件验证：政府 ID 扫描结合实时生物识别操作来证明物理存在

关于恢复选项的注意事项： 虽然数字凭证 API 和硬件安全密钥提供了强大的安全性，但它们尚未被广泛采用，前者仍是新兴技术，后者要求用户购买物理设备。

当备用通行密钥不可用时，带有活体检测的身份证件验证就成了一个可行的选择。尽管存在在没有物理拥有 ID 的情况下绕过活体检查的潜在解决方法，但这些方法仍提供比传统一次性密码（OTP）更强的安全性，传统一次性密码很容易通过网络钓鱼、SIM 卡交换或中间人攻击被拦截。

成功指标：

100% 的恢复流程包括防网络钓鱼因素
通过恢复过程成功接管账户的次数为零
恢复完成率保持在 90% 以上

4. 开始移除密码的公司示例#

无密码运动在整个科技行业中正在蓄势待发，领先的公司正在远离密码。

4.1 完全无密码的组织#

几家公司已经在其内部运营中实现了完全的密码消除。Okta、Yubico 和 Cloudflare 在内部实际上已经达到了零密码使用，它们的登录流程完全不接受密码。

4.2 处于积极过渡阶段的公司#

科技巨头谷歌、苹果、微软和 X 正在积极弃用密码，但尚未完全消除它们。它们的方法在过渡期间平衡了安全性改进和用户选择。

谷歌（Google） 采取了积极的立场，默认为所有账户打开“在可能的情况下跳过密码”（Skip password when possible），使通行密钥成为首选的身份验证方法，同时仍允许用户在需要时选择退出。这种选择退出的方法创造了走向无密码的强劲势头，同时为尚未准备好过渡的用户保持了灵活性。

微软（Microsoft） 则更进一步，允许用户今天从其账户中完全删除密码，并计划在未来“最终完全移除对密码的支持”。这个清晰的路线图向用户发出信号，密码的时日无多，鼓励尽早采用无密码方法。

苹果（Apple） 已在整个生态系统中集成了通行密钥并积极推广其使用，尽管 Apple ID 密码仍然可以作为后备选项。它们的方法利用苹果设备之间的无缝同步，使通行密钥的采用尽可能顺畅。

这些公司并没有强迫立即改变，而是发出了一个明确的信息：一旦采用率达到临界质量，密码就会消失。它们的策略包括使通行密钥成为默认选项、教育用户了解其好处，并逐步减少密码功能。

5. 您应该什么时候开始移除密码？#

移除密码的决定不应仓促做出或普遍适用。相反，应采用数据驱动的渐进方法，考虑用户行为、设备能力和风险状况。

5.1 谁应该立即开始其无密码旅程#

今天正在遭受严重网络钓鱼攻击的高风险行业应立即开始其无密码过渡，但仍应遵循逐步、战略性的推广：

银行和金融机构： 凭证盗窃的首要目标。对于欧洲银行来说，通行密钥也符合 PSD2 强客户身份验证（SCA）要求，提供满足监管合规性同时增强用户体验的防网络钓鱼 MFA
支付提供商和金融科技： 直接接触客户资金使它们对有组织的在线犯罪具有吸引力
加密货币交易所： 不可逆转的交易意味着被盗凭证会导致永久损失
医疗保健和保险： 面临医疗身份盗窃带来的合规性要求和患者安全风险
政府和关键基础设施： 成为具有复杂鱼叉式网络钓鱼活动的民族国家行为者的目标

对于这些组织来说，立即采取行动至关重要，但成功仍然需要一种有条不紊、循序渐进的推广方法。 从今天开始，但要进行战略性推广，以确保高采用率并避免用户被锁定。

5.2 渐进式推广策略#

从小范围的子组开始： 从表现出一致通行密钥使用习惯的用户开始您的无密码过渡。这些早期采用者将帮助您在更广泛的部署之前发现潜在的问题。

分析用户行为模式：

登录频率和使用的方法
设备类型和通行密钥兼容性
失败的身份验证尝试
恢复流程的使用
跨设备身份验证模式

根据这些模式符合密码停用条件的用户：

持续通过通行密钥进行身份验证——表明他们对该技术感到熟悉
跨多个设备使用通行密钥——表明他们有备用访问方法
在过去 30-60 天内没有使用过密码或恢复流程——表明他们不依赖于基于密码的身份验证

6. Corbado 如何提供帮助#

Corbado 提供了一个全面的平台，以指导组织完成上述无密码旅程的所有四个阶段。从最初实施通行密钥到实现完全消除密码，Corbado 的解决方案处理了技术复杂性，同时提供了成功实现用户采用所需的工具。

阶段 1 和 2 支持： Corbado 提供了与现有身份验证堆栈的无缝通行密钥集成、最大化采用率的智能提示以及跟踪通行密钥创建和使用模式的详细分析。该平台的通行密钥智能功能可根据设备能力和用户行为自动优化用户体验，确保顺畅的入门体验。

阶段 3 和 4 实施： 对于准备完全移除密码的组织，Corbado 支持根据用户的就绪程度逐步停用密码，同时维护安全的、防网络钓鱼的恢复流程。

通过处理跨平台兼容性、后备机制和用户体验优化，Corbado 将无密码转换从几年缩短到几个月，使组织能够专注于其核心业务，同时实现防网络钓鱼的身份验证。

结论#

通往真正的无密码身份验证的旅程回答了我们在开始时提出的两个关键问题：

为什么单靠通行密钥不足以实现完全的安全性？ 因为安全性只取决于其最薄弱的环节。只要密码仍然可用（即使是作为后备），攻击者就会轻易转移目标，通过网络钓鱼、撞库或降级攻击来对付它们。您系统中的每一个密码都会削弱通行密钥防网络钓鱼的优势。

是什么让账户恢复成为隐藏漏洞？ 恢复流程往往是被遗忘的后门。正如美高梅国际酒店集团和 Okta 数据泄露事件所表明的那样，攻击者越来越多地通过利用较弱的恢复方法（如短信 OTP 或电子邮件魔法链接）来绕过强大的通行密钥实施。这就像安装了钢门却不关窗户。

真正的无密码安全需要完成完整的旅程：实施通行密钥、推动采用、完全移除密码以及使用防网络钓鱼方法保护恢复流程。只有关闭所有密码后门（包括隐藏在恢复过程中的后门），组织才能实现真正安全的身份验证。

关于 Corbado

Corbado 是面向大规模运行 consumer 身份验证的 CIAM 团队的Passkey Intelligence Platform。我们让你看到 IDP 日志和通用 analytics 工具看不到的内容：哪些设备、操作系统版本、浏览器和 credential manager 支持 passkey，为什么注册没有转化为登录，WebAuthn 流程在哪里失败，以及什么时候操作系统或浏览器更新会悄悄破坏登录 — 而且无需替换 Okta、Auth0、Ping、Cognito 或你自有的 IDP。两款产品：Corbado Observe 提供 针对 passkey 及任何其他登录方式的 observability。Corbado Connect 提供 内置 analytics 的 managed passkey（与你的 IDP 并存）。VicRoads 通过 Corbado 为 500 万以上用户运行 passkey（passkey 激活率 +80%）。与 Passkey 专家交谈 →