就在前几年，免密认证似乎还只能在谍战片中看到，只要录入指纹或扫描视网膜就能解除门禁甚至重启计算机。如今，这一想法已经成为现实，其中一些技术现在也成为了主流。

不过，免密认证究竟是如何实现的呢？相较于传统密码认证又有哪些独特优势呢？

之前的免密认证系列推送已经对免密认证的含义及其运行原理进行了详细介绍。本文将深入探讨使用免密认证的原因、免密认证各种实现方法的优缺点以及应用场景。

1、企业为什么需要免密认证？

使用免密认证一般有几个原因。

首先，免密认证比传统的密码验证更安全。很多员工不想记住几百个不同的密码，所以每次都用相同或相似的数字和字母作为密码。只要黑客找到其中一个，就肯定会通过密码喷洒、凭证填充或网络钓鱼攻击破解更多密码。但如果根本没有密码可以破译，黑客也束手无策。

第二，免密认证对员工来说也更方便。免密认证根据员工的持有物或生物特征授予员工访问应用的权限，免去了记住密码的麻烦。员工可以出示验证码、安全令牌或生物特征快速登录设备，不用再担心忘记密码的情况。

最后，免密认证还能节省时间和成本，运维不用再提醒员工每月更改密码或处理与密码相关的大量支持请求。

2、免密认证使用的因素

通常，用户登录平台时都会使用自己知道的信息，比如密码。而之前的推送已经讨论过，基于知识的身份验证因素很容易被滥用和窃取。免密认证使用其他形式的身份验证因素（包括占有因素和生物特征因素）完全不需要密码的参与。

• 占有因素

占有因素也被称为持有因素，通过手机等用户拥有的物品授予用户访问权限。有了这类设备，用户就可以通过邮件或短信接收动态口令（OTP），或接收来自身份验证应用的推送通知，确认推送通知或输入验证码后就能自动登录。由于黑客需要正确的占有因素才能通过验证登录应用，所以更难发起网络攻击。

占有因素示例：

• 移动设备
• 身份验证器应用
• 硬件令牌
• 智能卡

占有因素的运行流程：

1）注册应用时，用户需要提供占有因素的 ID（如，手机号或二维码），并通过验证

2）应用会生成一个私钥与用户的占有因素挂钩

3）用户尝试再次登录时，应用会向注册时提供的占有因素发送OTP、PIN 码或推送通知

4）用户的持有设备收到 OTP、PIN 码或推送通知

5）用户输入 OTP或 PIN 码或确认推送通知后，直接完成登录

• 生物特征因素

生物特征因素，也称为固有因素，基于用户的生物特征授予访问权限。生物特征几乎不可能模仿，还能改善用户体验。

生物特征因素示例：

• 心电图
• 声纹
• 视网膜扫描
• 面部识别
• 指纹扫描

生物特征因素的运行流程：

1）注册新应用时，用户需要出示某种形式的生物 ID 用作私钥

2）用户重新访问应用时需出示注册所用的生物 ID

3）生物 ID 会和授权的生物特征进行比较

4）比较后如结果匹配，私钥解锁，用户完成登录

3、为您的企业实施免密认证

上述因素的运行流程似乎都一目了然，但后端的配置和实现却复杂得多。仅对一个应用实现免密认证已经很困难，再扩展到所有应用更是一项艰巨的任务。

另一方面，免密认证对企业又有很多帮助，包括提升安全性、优化用户体验、为运维人员彻底减负、提高整体生产力等。而企业想要实现复杂的免密认证需求需要耗费大量的人力物力。所幸，免密认证可以拆分后逐步实现。

实现免密认证的绝佳起点就是多因素认证（MFA）。让用户习惯了各种验证因素后，就可以加快免密认证相关的员工培训。

此外，MFA 显著提高了访问业务的安全性，反过来又促使企业实施完整的免密认证。

宁盾 MFA 旨在提供无缝的用户体验，并向员工传递免密认证将进一步改善日常办公的信息。此外，IT 部门可以从实施 MFA 的难点中学习，并将这些经验用于免密认证项目。

宁盾

上海宁盾信息科技有限公司，企业级身份管理厂商。凭借全场景统一身份认证”、“零信任终端准入”、“移动化安全管理”技术，帮助解决客户在“零信任”安全架构转型及快速落地的难题。目前已服务近2000家中大型企业客户，覆盖金融、互联网、能源、电力、制造的头部客户（中国银行、广西公安、国家电网、百度、滴滴、诺亚财富、长江存储、京东方、wework、虹桥机场等）。