密码对您的互联网安全至关重要。但是有这么多的在线和离线服务，很难跟踪你的密码。无密码登录系统开始兴起，取消了每次登录服务时输入密码的要求。

但如果你没有使用密码，你如何保护你的帐户？什么是无密码登录，它们安全吗？

什么是无密码登录(a passwordless login)？

无密码登录是一种身份验证系统，它使用密码的替代方法来启用对帐户的访问。例如，您收到的不是密码，而是作为登录令牌的电子邮件通知。或者，您可能会在智能**上收到一个弹出窗口，允许您控制对帐户的访问。

在这种情况下，无密码登录通常使用预先存在的身份验证形式来保证您的身份。

你可能已经遇到了使用Gmail帐户的无密码登录。不用每次登录时都输入密码，谷歌可以直接向你的**发送提示。提示显示登录尝试的时间和位置，并提供批准或拒绝登录的选项。

无密码登录如何工作？

当你登录到一个网站，你必须提供一个密码来解锁你的帐户。密码只为您和网站所知，确保您的帐户安全。您相信该站点会保护您的密码，安全地存储它，并且该站点本身不会受到攻击。

而且，您肯定已经为每个站点和服务使用了强大、唯一的密码，因为这是最安全的做法。

然而，正是后者变得困难。为每个站点创建一个强大的一次性密码，用户可以创建容易记住但糟糕的密码。而且，即使您确实创建了一个安全的密码，每月一看数据泄露的数量也可能会破坏您的努力。

使用无密码身份验证，您不必使用密码信任网站。无密码登录使用几种不同的身份验证方法，而不是每次输入密码。

基于电子邮件的无密码身份验证

目前最常见的无密码登录系统是通过电子邮件。许多用户会发现基于电子邮件的无密码登录是最常见的系统，其工作原理类似于密码重置。

当您尝试登录时，请提供电子邮件地址。该服务向与帐户相关联的地址发送一封安全电子邮件，并且该电子邮件包含一个安全的一次性魔术链接，可用于输入您的服务帐户。magic link包含一个唯一的登录令牌，该令牌由服务验证，并将其交换为一个长期验证令牌。

电子邮件系统上还有其他变体。例如，在现有帐户的情况下，服务可能会向用户发送一个绑定到其帐户详细信息的一次性DKIM密钥代码。用户接收DKIM代码并将其输入站点。该站点根据现有用户详细信息验证代码，并完成登录过程。

基于短信的无密码登录

在本例中，用户输入一个有效的电话号码。该服务会向电话号码发送一次性代码。然后用户可以登录到服务。或者，一些服务提供“机器人呼叫”用户，其中文本到语音服务将直接读取代码。

然而，短信的安全性正在受到审查。我们绝大多数人没有什么可担心的。但一些身价高的个人（尤其是那些拥有大量加密货币的个人）遭受了短信sim卡黑客攻击。仔细看看什么是sim卡交换攻击，以及如何防范它。

基于生物特征的无密码登录

一些无密码登录方法使用生物特征扫描服务来验证您的身份。生物认证服务比以往任何时候都在更多的设备上提供。（您应该为您的智能**切换到生物识别服务吗？）

这个想法是，当你想访问一个网站，一个提示出现在你的智能**上。您可以使用首选的生物识别系统解锁智能**，解锁功能将验证您的身份。

然而，除了苹果的面部识别码（适用于iphonex、ipadpro第三代和ipodtouch第七代之后生产的设备），移动设备的生物识别扫描并不完全安全。

其他**商的人脸扫描硬件没有那么先进，是用照片来欺骗的，而它需要一个完整的3D打印和绘制的头部来欺骗苹果的人脸ID。在其他情况下，指纹扫描仪允许部分识别来解锁设备。

目前，生物识别无密码登录系统可能不是最佳选择。不过，在未来，它可能会成为最佳选择。

物理密钥无密码登录

物理安全密钥提供了另一种无密码登录验证选项。物理安全密钥是一种特殊的USB安全密钥。当您想访问您的帐户时，请将安全密钥**计算机。在线服务通过安全密钥验证您的帐户，无需密码。

物理安全密钥的主要例子包括Google的Titan系列和Yubico的Yubikey系列。

无密码登录是否类似于双因素身份验证？

是和否。

是的，无密码登录类似于双因素身份验证（2FA），因为您可以使用另一种身份验证方法访问您的帐户。2FA的工作原理是使用两个单独的因素来保护您的帐户，通常是密码和单独的设备。

不，这是不一样的，因为虽然您使用一个单独的设备来验证您的帐户，但它仍然只是一个单一的因素。

无密码登录更安全吗？

任何阻止用户创建糟糕密码的方法都是好的，对吧？无密码登录可消除最终用户的另一个故障点。目前，无密码登录并不普遍。一些主要的服务正在使用它们，比如Gmail（如上所述）和SlackMagicLinks。

对网站所有者和版主来说，最大的好处是突然不必处理用户密码。存储在明文文件中的未加密密码是噩梦的素材；对于黑客来说，它是梦想的素材。很少访问某项服务的用户也不必经历“重置密码”的繁琐程序。

无密码登录还可以帮助用户快速登录该服务。相反，如果你经常注销服务，必须通过电子邮件或短信重新授权可能会变得恼火，这取决于时间的长短。

现在，使用密码管理器

无密码登录将需要时间成为主流。不过，情况正在好转。大多数主流浏览器（除了Safari）都支持这种或那种无密码登录。2019年2月，谷歌还宣布，运行Android 7（即Android Nougat）或更高版本的设备也将获得无密码登录支持。

这意味着近50%的Android设备支持无密码登录。而FIDO2和WebAuthn等无密码登录标准将继续接收更新，进一步保护身份验证方法。

在撰写本文时，您仍然需要密码。您需要一个强大的一次性密码。有鉴于此，为什么不考虑使用密码管理器呢？