已定义 FIDO2
FIDO2 (Fast IDentity Online 2) 是用户身份验证的开放标准,旨在加强用户登录联机服务的方式以提高整体信任。FIDO2 使用防钓鱼加密凭据验证用户身份,从而增强安全性并保护个人和组织免受网络犯罪的危害。
FIDO2 是由 FIDO 联盟(由 Microsoft 和其他技术、商业和政府组织组成的行业联盟)开发的最新开放式身份验证标准。该联盟在 2014 年发布了 FIDO 1.0 身份验证标准—引入了防钓鱼多重身份验证 (MFA)—并在 2018 年发布了最新的无密码身份验证标准—FIDO2(也称为 FIDO 2.0 或 FIDO 2)。
什么是密钥,它们与 FIDO2 有什么关系?
无论密码有多长、多复杂,或者更改的频率如何,密码都可能因自愿或不自愿的共享而遭到入侵。即使使用强密码保护解决方案,每个组织都存在网络钓鱼、黑客攻击和其他网络攻击网络攻击(密码被盗)的风险。一旦密码落入坏人之手,就可用于未经授权地访问在线帐户、设备和文件。
密钥是使用公钥加密创建的 FIDO2 登录凭据。作为密码的有效替代方法,它们增加了网络安全,同时使登录到受支持的 Web 应用程序和网站比传统方法更加用户友好。
FIDO2 无密码身份验证依赖于加密算法以生成私钥和公钥对—数学上相关的长随机数 。密钥对用于直接在最终用户设备上执行用户身份验证,无论是台式计算机、笔记本电脑、移动电话还是安全密钥。密钥可以绑定到单个用户设备,也可以通过云服务自动跨用户的多个设备同步。
FIDO2 身份验证的工作原理是什么?
FIDO2 无密码身份验证的工作原理通常是使用密钥作为帐户身份验证的第一个主要因素。简单来说,当用户注册 FIDO2 支持的联机服务时,注册以执行身份验证的客户端设备会生成仅适用于该 Web 应用或网站的密钥对。
公钥已加密并与服务共享,但私钥在用户设备上保持安全。然后,每次用户尝试登录服务时,服务都会给客户端带来独特的挑战。客户端激活密钥设备以使用私钥对请求进行签名并返回请求。这使得该流程受到加密保护,免遭网络钓鱼。
FIDO2 验证器的类型
在设备可以生成唯一的 FIDO2 密钥集之前,它必须确认正在请求访问的用户不是未经授权的用户或恶意软件类型。它使用验证器执行此操作,验证器是可以接受 PIN、生物特征或其他用户手势的设备。
FIDO 验证器有两种类型:
漫游(或跨平台)验证器
这些验证器是独立于用户客户端设备的便携式硬件设备。漫游验证器包括安全密钥、智能手机、平板电脑、可穿戴设备,以及通过 USB 协议或近场通信 (NFC) 和蓝牙无线技术与客户端设备连接的其他设备。用户可通过多种方式验证身份,例如,插入 FIDO 密钥并按下按钮或在智能手机上提供指纹等生物特征。 漫游验证器也称为跨平台验证器,因为它们允许用户随时随地在多台计算机上进行身份验证。
平台(或绑定)验证器
这些验证器嵌入到用户客户端设备中,无论是台式机、笔记本电脑、平板电脑还是智能手机。平台验证器包含用于保护密钥的生物特征功能和硬件芯片,要求用户使用客户端设备登录到 FIDO 支持的服务,然后通过同一设备(通常使用生物特征或 PIN)进行身份验证。
使用生物特征数据的平台验证器示例包括 Microsoft Windows Hello、Apple Touch ID 和 Face ID 以及 Android 指纹。
如何注册并登录到 FIDO2 支持的服务:
要利用 FIDO2 身份验证提供的增强安全性,请执行以下基本步骤:
如何注册 FIDO2 支持的服务:
- 步骤 1:注册服务时,将提示你选择受支持的 FIDO 验证器方法。
- 步骤 2:使用验证器支持的简单手势激活 FIDO 验证器,无论是输入 PIN、触摸指纹读取器还是插入 FIDO2 安全密钥。
- 步骤 3:激活验证器后,设备将生成私钥和公钥对,该对对于你的设备、帐户和服务具有唯一性。
- 步骤 4:本地设备安全地存储私钥以及与身份验证方法相关的任何机密信息,例如生物特征数据。公钥已加密,并随随机生成的凭据 ID 一起注册到服务并存储在其验证器服务器上。
如何登录到 FIDO2 支持的服务:
- 步骤 1:服务发出加密质询以确认你的状态。
- 步骤 2:出现提示时,执行在帐户注册期间使用的相同验证器手势。使用手势确认状态后,设备将使用本地存储在设备上的私钥对质询进行签名。
- 步骤 3:设备将签名质询发送回服务,服务使用安全注册的公钥对其进行验证。
- 步骤 4:完成后,你已登录。
FIDO2 身份验证有哪些优势?
提升易用性
通过 FIDO 身份验证,个人可以使用 FIDO2 密钥、验证器应用或嵌入在其设备中的指纹读取器或相机快速、方便地对其身份进行身份验证。虽然用户必须执行第二个甚至第三个安全步骤(例如,身份验证需要多个生物特征时),但用户可节省与创建、记住、管理和重置密码相关的时间和麻烦。
提高可伸缩性
FIDO2 是开放式无许可证标准,使企业和其他组织能够在全球范围内缩放无密码身份验证方法。使用 FIDO2,他们可以为所有员工、客户和合作伙伴提供安全、简化的登录体验,无论他们选择哪个浏览器和平台。
简化访问管理
IT 团队不再需要部署和管理密码策略和基础结构,可降低成本并让他们专注于高价值活动。此外,技术支持人员的工作效率会提高,因为他们无需支持基于密码的请求,例如重置密码。
什么是 WebAuthn 和 CTAP2?
FIDO2 规范集有两个组件:Web 身份验证 (WebAuthn) 和客户端到验证器协议 2 (CTAP2)。 主要组件 WebAuthn 是在合规的 Web 浏览器和平台中实现的 JavaScript API,以便注册的设备可以 执行 FIDO2 身份验证。万维网联盟 (W3C) 是万维网的国际标准组织,与 FIDO 联盟合作开发了 WebAuthn。WebAuthn 在 2019 年成为正式的 W3C Web 标准。
FIDO 联盟开发的第二个组件 CTAP2 允许漫游验证器(例如,FIDO2 安全密钥和移动设备)与 FIDO2 支持的浏览器和平台通信。
什么是 FIDO U2F 和 FIDO UAF?
FIDO2 从 FIDO 1.0(该联盟在 2014 年发布的第一个 FIDO 身份验证规范)演变而来。这些原始规范包括 FIDO 通用第二因素 (FIDO U2F) 协议和 FIDO 通用身份验证框架 (FIDO UAF) 协议。
FIDO U2F 和 FIDO UAF 都是多重身份验证的形式,这需要两到三个证据(或因素)以验证用户。这些因素可以是只有用户知道(例如,密码或 PIN)、拥有(例如,移动设备上的 FIDO 密钥或验证器应用)的内容或是相关内容(例如,生物特征)。
详细了解这些规范:
FIDO U2F
FIDO U2F 通过双因素身份验证 (2FA)增强基于密码的授权标准,该标准使用两个证据验证用户。FIDO U2F 协议要求个人提供有效的用户名和密码组合作为第一因素,然后使用 USB、NFC 或蓝牙设备作为第二因素,通常按下按钮或键入时间敏感型 OTP 以进行身份验证。
FIDO U2F 是 CTAP 1 的后续产品,也是 CTAP2 的前身,它允许个人将移动设备以及 FIDO 密钥用作第二因素设备。
FIDO UAF
FIDO UAF 可促进多重无密码身份验证。它要求个人使用 FIDO 注册的客户端设备登录—该设备使用生物特征检查(例如,指纹或人脸扫描)或 PIN 作为第一因素以确认用户状态。然后,设备会生成唯一的密钥对作为第二因素。网站或应用还可以使用第三因素,例如生物特征或用户的地理位置。
FIDO UAF 是 FIDO2 无密码身份验证的前身。
如何实现 FIDO2
在网站和应用上实施 FIDO2 标准需要组织拥有新式硬件和软件。幸运的是,所有领先的 Web 平台(包括 Microsoft Windows、Apple iOS 和 MacOS 以及 Android 系统)以及所有主要的 Web 浏览器(包括 Microsoft Edge、Google Chrome、Apple Safari 和 Mozilla Firefox)都支持 FIDO2。身份和访问管理 (IAM)解决方案还必须支持 FIDO2 身份验证。
通常,在新网站或现有网站和应用中实现 FIDO2 身份验证需要以下关键步骤:
- 定义用户登录体验和身份验证方法,并设置访问控制策略。
- 使用相应的 FIDO 协议规范新建或修改现有的注册和登录页。
- 设置 FIDO 服务器以对 FIDO 注册和身份验证请求进行身份验证。FIDO 服务器可以是独立服务器,可以与 Web 或应用程序服务器集成,也可以作为 IAM 模块提供。
- 生成新的或修改现有身份验证工作流。
FIDO2 和生物特征身份验证
生物特征身份验证使用个人独特的生物特征或行为特征以确认该人是他们声称的身份。收集生物特征数据并将其转换为只能使用机密算法访问的生物特征模板。当个人尝试登录时,系统会重新捕获信息、对其进行转换,并将其与存储的生物特征进行比较。
生物特征身份验证的示例包括以下内容:
生物
- 指纹扫描
- 视网膜扫描
- 语音识别
- DNA 匹配
- 静脉扫描
行为
- 触摸屏使用
- 键入速度
- 键盘快捷方式
- 鼠标活动
生物特征身份验证在当今混合数字工作场所中已成为现实。员工喜欢这样一个事实:它使他们能够灵活、快速、安全地进行身份验证(无论他们选择何处)。企业喜欢这一点,这大大减少了攻击面,阻止了可能针对其数据和系统的网络犯罪。
然而,生物特征身份验证并不能完全防止黑客攻击。例如,不良行为者可以使用其他人员的生物特征数据(例如,照片或硅胶指纹)模拟该个人。或者,他们可以组合多个指纹扫描以创建主扫描,以便他们能够访问多个用户帐户。
生物特征身份验证存在其他缺点。例如,一些面部识别系统对女性和有色人种具有固有偏见。此外,一些组织选择将生物特征数据存储在数据库服务器(而不是最终用户设备)上,从而引发有关安全和隐私的问题。不过,多重生物特征身份验证仍然是目前可用于验证用户身份的最安全方法之一。
FIDO2 身份验证示例
银行、金融服务和保险业
为了保护敏感的业务和客户数据,在公司办公室工作的员工通常使用公司提供的台式机或带有平台验证器的笔记本电脑。公司策略禁止他们将这些设备用于个人用途。现场分支机构和呼叫中心员工经常使用共享设备,并使用漫游验证器验证身份。
航空业
这些行业的组织还必须考虑在不同环境中工作并承担不同职责的个人。行政、人力资源和其他办公室员工通常使用台式机和笔记本电脑,并使用平台或漫游验证器进行身份验证。机场登机口工作人员、飞机机械师和机组人通常使用个人智能手机上的硬件安全密钥或验证器应用程序在共享平板电脑或工作站上进行身份验证。
制造业
为了确保制造设施的物理安全性,授权员工和其他个人使用漫游验证器—例如,已启用 FIDO2 的智能卡和 FIDO2 密钥—或具有平台验证器的已注册个人智能手机以解锁门。此外,产品设计团队通常使用具有平台验证器的专用台式机或笔记本电脑以访问包含专有信息的联机设计系统。
紧急服务业
政府机构和其他紧急服务提供商不能始终使用指纹或虹膜扫描对医生和其他急救人员进行身份验证。通常,这些人员在需要快速访问联机服务的同时戴着手套或护目镜。在这些情况下,改为通过语音识别系统识别他们。还可以使用通过智能手机扫描耳朵形状的新兴技术。
使用 FIDO2 可安心、安全
无密码身份验证即将成为 IAM 的最佳做法。通过接受 FIDO2,你知道你正在使用受信任的标准以确保用户是他们自称的个人。
要开始使用 FIDO2,请仔细评估身份验证的特定组织和行业要求。然后,使用 Microsoft Entra ID(旧称为 Azure Active Directory)简化 FIDO2 实现。 Microsoft Entra ID 中的无密码方法向导简化了 Windows Hello 企业版、Microsoft Authenticator 应用和 FIDO2 安全密钥的管理。
常见问题解答
-
FIDO2 代表 (Fast IDentity Online 2),这是 FIDO 联盟发布的最新开放式身份验证标准。该联盟由 Microsoft 和其他技术、商业和政府组织组成,旨在消除通过万维网使用密码。
FIDO2 规范包括 Web 身份验证 (WebAuthn),这是一种 Web API,允许联机服务与 FIDO2 平台验证器(例如嵌入在 Web 浏览器和平台中的指纹和面部识别技术)进行通信。WebAuthn 由万维网联盟 (W3C) 与 FIDO 联盟合作开发,是正式的 W3C 标准。
FIDO2 还包括该联盟开发的客户端到验证器协议 2 (CTAP2)。CTAP2 通过 USB、BLE 或 NFC 将漫游验证器(例如,外部 FIDO2 安全密钥和移动设备)连接到 FIDO2 客户端设备。
-
FIDO2 是移动和桌面环境中多重无密码身份验证的开放式无许可证标准。FIDO2 的工作原理是使用公钥加密(而不是密码)验证用户身份,阻止尝试通过网络钓鱼、恶意软件和其他基于密码的攻击窃取用户凭据的网络犯罪。
-
FIDO2 身份验证的优势包括更高的安全性和隐私性、用户友好型体验以及改进的可伸缩性。FIDO2 还可减少与管理用户名和密码相关的工作负载和成本,从而简化 IT 团队和技术支持人员的访问控制。
-
FIDO2 密钥(也称为 FIDO2 安全密钥)是双重和多重身份验证所需的物理硬件设备。作为漫游 FIDO 验证器,它使用 USB、NFC 或蓝牙连接到 FIDO2 客户端设备,允许用户在多台计算机上进行身份验证(无论是在办公室、家中还是在其他环境中)。
客户端设备要求用户使用 FIDO2 密钥做出手势(例如,触摸指纹读取器、按下按钮或输入 PIN)以验证用户身份。FIDO2 密钥包括插件密钥、智能手机、平板电脑、可穿戴设备和其他设备。
-
组织根据其独特的安全性、后勤和行业要求部署 FIDO2 身份验证方法。
例如,银行和研究驱动型制造商通常要求办公室员工和其他员工使用公司提供的、仅适用于企业的台式机和具有平台验证器的笔记本电脑。包含外出人员(例如,航空公司机组人员和紧急响应团队)的组织通常改为访问共享平板电脑或工作站,然后在其智能手机上使用安全密钥或验证器应用进行身份验证。
关注 Microsoft 安全