Think 时事通讯
您的团队能否及时捕获下一个零日?
加入安全领导者的行列,订阅 Think 时事通讯,获取有关 AI、网络安全、数据和自动化的精选资讯。快速访问专家教程和阅读解释器,我们会将这些内容直接发送到您的收件箱。请参阅 IBM 隐私声明。
密钥存储于用户的设备(例如智能手机)上。用户可以通过与解锁设备相同的方式(例如面部识别、指纹扫描或输入 PIN 码)登录网站或应用程序。
IBM X-Force Threat Intelligence Index 报告显示,凭证窃取是数据泄露事件受害者最常遭受的后果。威胁攻击者利用网络钓鱼攻击和信息窃取恶意软件来收集这些凭证,并在暗网上出售或用于扩大其网络渗透范围。近三分之一的网络攻击涉及劫持有效的用户账户。
FIDO 身份验证有助于最大限度地减少凭证盗窃和帐户劫持带来的网络安全威胁。密钥不会像密码那样容易被盗。要闯入受密钥保护的帐户,攻击者必须获得对用户设备的访问权限并成功输入其 PIN 或绕过生物识别安保措施。
Think 时事通讯
加入安全领导者的行列,订阅 Think 时事通讯,获取有关 AI、网络安全、数据和自动化的精选资讯。快速访问专家教程和阅读解释器,我们会将这些内容直接发送到您的收件箱。请参阅 IBM 隐私声明。
FIDO 联盟是一个由政府机构、企业和科技公司(包括 IBM、Apple、Amazon、Microsoft、PayPal 等众多成员)组成的联盟。该组织制定并维护 FIDO 认证标准,旨在减少对密码的依赖。
FIDO 联盟于 2014 年发布了首个 FIDO 协议 FIDO 1.0。最新的协议 FIDO2 是与万维网联盟 (World Wide Web Consortium) 合作开发,并于 2018 年发布。
如今,数百万人使用 FIDO 身份验证登录网站和应用程序。FIDO2 协议受领先 Web 浏览器、单点登录 (SSO) 系统、身份和访问管理 (IAM) 解决方案、Web 服务器以及操作系统(包括 iOS、MacOS、Android 和 Windows)的支持。
FIDO 认证利用公钥密码学 (PKC) 生成与用户账户关联的唯一加密密钥对。此密钥对称为“密钥”,包含一个保留在服务提供商处的公钥和一个驻留在用户设备上的私钥。
当用户登录其账户时,服务提供商会向用户设备发送一个质询(通常是一串随机字符)。设备提示用户通过 PIN 码或生物特征认证进行身份验证。
若用户成功通过验证,设备将使用私钥签署该质询,并将其发送回服务提供商。服务提供商使用公钥验证是否正确使用了对应的私钥——如果验证成功,则授予用户账户访问权限。
存储在一台设备上的密钥可用于登录另一台设备上的服务。例如,如果用户在移动设备上为其电子邮件帐户设置了密钥,他们仍然可以在笔记本电脑上登录该帐户。用户将在注册的移动设备上完成身份验证确认。
FIDO 还支持使用安全密钥(也称为“硬件令牌”)作为认证方法。FIDO 安全密钥是一种小型专用物理设备,能够创建密钥对并签署质询。它们通过蓝牙、近场通信 (NFC) 协议或 USB 端口连接到其他设备。在认证过程中,FIDO 安全密钥可替代生物特征数据或 PIN 码:用户持有该密钥即完成身份验证。
由于私钥存储于用户设备上且永不离开,安全漏洞的可能性被降至最低。黑客无法通过入侵数据库拦截通信来窃取私钥。服务提供商持有的公钥不包含敏感信息,对黑客而言几乎无用。
要对电子邮件帐户设置 FIDO 身份验证,用户可遵循以下步骤:
FIDO 支持两种类型的密钥:同步密钥和设备绑定密钥。
同步密匙可在多个设备上使用,更加方便。Apple Passwords、Windows Hello 和 Google Password Manager 等凭据管理器可以存储已同步的密钥,并使用户在任何设备上均可使用这些密钥。
例如,用户可能会在智能手机上注册密钥以访问银行应用程序。当用户使用笔记本电脑或平板电脑登录银行应用程序时,可通过凭据管理器获得相同的密钥。
此类密钥绑定于单台设备,提供最高级别的安全性。
设备绑定密钥通常通过连接到特定设备的物理安全密钥进行访问。该密钥无法离开设备,因此不易遭受未经授权的访问。
设备绑定的密钥通常用于访问高度敏感的信息,例如财务数据、企业知识产权或政府机密材料。
自 2014 年推出 FIDO 1.0 以来,FIDO 协议已不断演进和完善。FIDO 1.0 中引入的协议功能已整合到较新的 FIDO2 认证协议中。
FIDO UAF 是 FIDO 联盟最早开发的协议之一。它提供了无需密码即可登录服务的能力。使用 UAF,用户可直接通过设备使用面部识别等生物特征数据或 PIN 码进行身份验证。
U2F 的开发旨在为依赖用户名和密码的系统提供双重认证 (2FA)。2FA 方法要求用户提供第二重因素来确认身份。U2F 使用物理安全密钥作为第二重因素。
FIDO2 发布后,U2F 更名为“CTAP1”。
FIDO2 引入了两个新协议,扩展了早期协议的覆盖范围并增强了功能。
WebAuthn 通过提供 Web 应用程序编程接口 (Web API) 改进了 UAF 的功能,使依赖方可以使用无密码身份验证。“依赖方”是指使用 FIDO 身份验证的网站和网络应用程序。
除 API 外,WebAuthn 还提供 FIDO 标准,定义 Web 应用程序、Web 浏览器与安全密钥等验证器之间应如何交互。
CTAP2 定义了 FIDO 客户端(例如 Web 浏览器或操作系统)如何与身份验证器通信。身份验证器是验证用户身份的组件。
在 U2F(或 CTAP1)中,身份验证器始终是安全密钥。CTAP2 增加了对用户设备上的其他身份验证器的支持,例如语音和面部识别、指纹或 PIN。
失窃密码是最常见的网络攻击媒介之一。FIDO 提供无密码身份验证解决方案来降低这种威胁。
黑客无法通过常规手段窃取密钥。例如,密钥具有防钓鱼特性,因为用户从不直接与服务共享其私钥。用户身份验证主要在用户设备上进行。即使在线服务遭遇数据泄露,密钥仍然无法被获取。
FIDO 还消除了对一次性密码 (OTP) 的需求,黑客可以拦截或欺骗这些密码。FIDO 密钥在用户设备上保持受保护状态,不会暴露于外部系统。
FIDO 支持多重认证 (MFA),要求用户提供两种或多种验证因素以确认身份。例如,要访问受设备绑定密钥保护的账户,用户需要两个因素——其设备以及生物特征数据或 PIN 码——来解锁密钥并签署质询。
FIDO 标准可帮助部分企业遵守数据隐私和保护法规,例如《通用数据保护条例》(GDPR)、《支付卡行业数据安全标准》(PCI DSS) 和《加州消费者隐私法案》(CCPA)。
具体而言,FIDO 增加了未授权用户劫持有效账户的难度,进而意味着未授权用户访问敏感数据的可能性降低。
FIDO 是一种开放标准,几乎与所有主流的 Web 浏览器、平台、服务器、应用程序和设备兼容。它提供了许多组织和在线服务可以实施的稳健的身份验证机制。
许多人认为 FIDO 比其他认证解决方案更易用。用户无需记忆密码、定期更改密码或处理密码重置与恢复流程。FIDO 还可在多台桌面和移动设备上运行,无需用户单独注册每台设备。
FIDO 密钥为用户登录提供了一种更快速、更便捷且更安全的方法。对于电子商务网站和大型全球服务提供商,FIDO 可提升客户体验,并减少因凭证丢失或遗忘而进行账户恢复的需求。
企业使用 FIDO 身份验证授权员工、供应商、承包商和其他利益相关者快速访问企业资源。与密码身份验证相比,FIDO 密钥可以提供卓越的安全性和易用性。
FIDO 常用于电子商务环境中的购物者身份验证,例如通过移动应用确认支付。它也可用于在允许交易进行前验证持卡人身份。
FIDO 本身不处理支付,但有助于确保交易执行者的授权身份,从而减少欺诈。
现在,一些政府机构将 FIDO 身份验证用于处理纳税申报表和验证公共福利申请等活动。例如,为公民提供各种美国联邦机构的单一访问点的 login.gov 服务使用 FIDO2 身份验证。