Think 时事通讯
您的团队能否及时捕获下一个零日?
加入安全领导者的行列,订阅 Think 时事通讯,获取有关 AI、网络安全、数据和自动化的精选资讯。快速访问专家教程和阅读解释器,我们会将这些内容直接发送到您的收件箱。请参阅 IBM 隐私声明。
FIDO2 由两个协议组成:Web 身份验证 (WebAuthn) 和客户端到身份验证器协议 2 (CTAP2)。这些协议协同工作,使用户能够在不使用传统密码的情况下登录网站或应用程序。
FIDO2 认证不使用密码,而是采用人们解锁智能手机或笔记本电脑等设备时常用的方式。FIDO2 用户可通过面部识别、指纹读取器或输入 PIN 码进行身份验证。他们也可以使用称为 FIDO2 安全密钥的物理硬件令牌。
由于 FIDO2 基于公钥加密技术,因此它提供了比密码更安全的认证方式,而密码往往是攻击者的主要目标。 IBM X-Force Threat Intelligence Index 报告显示,近三分之一的网络攻击涉及劫持有效用户账户。
通过消除密码,FIDO2 可缓解诸多网络安全威胁,例如钓鱼攻击、中间人攻击和账户劫持。它还提供了更便捷的用户体验,因为用户无需记住密码、定期更改密码或处理密码重置与恢复流程。
Think 时事通讯
加入安全领导者的行列,订阅 Think 时事通讯,获取有关 AI、网络安全、数据和自动化的精选资讯。快速访问专家教程和阅读解释器,我们会将这些内容直接发送到您的收件箱。请参阅 IBM 隐私声明。
FIDO2 认证利用公钥加密技术生成一个称为“通行密钥”的唯一密钥对,该密钥对与用户账户相关联。该密钥对包含一个存储在服务提供商的公钥和一个驻留在用户设备上的私钥。
当用户登录其账户时,服务提供商会向用户设备发送一个质询(通常是一串随机字符)。设备会提示用户通过输入 PIN 码或使用生物特征认证来验证身份。
若用户成功通过验证,设备将使用私钥签署该质询,并将其发送回服务提供商。服务提供商使用公钥验证是否使用了匹配的私钥,并授予用户访问其账户的权限。
存储在一台设备上的通行密钥可用于登录另一台设备上的服务。例如,用户若在移动设备上为其电子邮件账户设置了通行密钥,仍可在笔记本电脑上登录该邮箱。用户需在已注册的移动设备上完成该验证请求。
FIDO2 也支持使用安全密钥(如 YubiKey 或 Google Titan)作为认证方式。
安全密钥,亦称“硬件令牌”,是可直接向服务传输认证信息的小型物理设备。它们可通过蓝牙、近场通信 (NFC) 协议或 USB 端口连接。用户可使用 FIDO2 安全密钥代替生物特征数据或 PIN 码进行身份认证并签署验证请求。
由于私钥存储于用户设备上且永不离开,安全漏洞的可能性被降至最低。黑客无法通过入侵数据库拦截通信来窃取私钥。服务提供商持有的公钥不包含敏感信息,对黑客而言几乎无用。
假设用户希望使用 FIDO 认证登录其邮箱。创建通行密钥并通过其认证的过程如下:
FIDO2 支持两种类型的通行密钥:同步通行密钥和设备绑定通行密钥。
同步密匙可在多个设备上使用,更加方便。Apple Passwords、Windows Hello 和 Google Password Manager 等凭据管理器可以存储已同步的密钥,并使用户在任何设备上均可使用这些密钥。
例如,用户可能会在智能手机上注册通行密钥以访问银行应用程序。当用户使用笔记本电脑或平板电脑登录银行应用程序时,将通过凭证管理器获得相同的通行密钥。
此类密钥绑定于单台设备,提供最高级别的安全性。
设备绑定密钥通常通过连接到特定设备的物理安全密钥进行访问。该密钥无法离开设备,因此不易遭受未经授权的访问。
设备绑定的密钥通常用于访问高度敏感的信息,例如财务数据、企业知识产权或政府机密材料。
2013 年,多家科技公司联合成立了 FIDO 联盟。该组织的目标是减少全球对基于密码的身份验证的依赖。
一年后,该联盟推出了 FIDO 1.0 标准,该标准包含两个协议:通用认证框架 (UAF) 和通用第二因素 (U2F)。新标准为无密码认证奠定了基础,但其应用范围有限。
例如,FIDO 1.0 主要侧重于为基于密码的认证提供第二因素,而非完全取代密码。它当时也缺乏标准化,难以在不同平台、应用程序和网络浏览器中广泛采用。
FIDO 联盟于 2018 年发布了 FIDO2 的两个新协议 - 客户端到身份验证器协议 2 (CTAP2) 和 Web 身份验证 (WebAuthn),消除了这些限制。
CTAP2 提供了单因素无密码认证体验。WebAuthn 通过标准化的基于浏览器的应用程序编程接口 (API) 简化了 FIDO 的采用。 这些扩展功能助力 FIDO2 成为网站、应用程序和在线服务广泛采用的认证标准。
如今,数百万人使用 FIDO2 认证登录网站和应用程序。FIDO2 标准已获得大多数用户设备、网络浏览器、单点登录 (SSO) 系统、身份和访问管理 (IAM) 解决方案、网络服务器以及操作系统(包括 iOS、MacOS、Android 和 Windows)的支持。
2013 年:FIDO 联盟成立,旨在减少对基于密码的身份验证的依赖。
2014 年: FIDO 1.0 发布。
2015 年:FIDO 标准开始在全球范围内获得认可。FIDO 联盟成员扩展至 250 多家,包括 Microsoft、Google、PayPal 和美国银行等公司。
2016 年:FIDO 联盟着手开发 FIDO2。该组织与具有影响力的万维网联盟合作,以确保新标准获得不同网络浏览器和平台的支持。
2018 年:FIDO2 发布,其功能在 FIDO 1.0 基础上进行了扩展。
2020 年:FIDO2 在各大主流网络浏览器和操作系统(包括 Firefox、Chrome、Edge、Safari、Android、iOS 和 Windows)中获得支持并得以实施。
2024 年:FIDO 联盟宣布,全球超过 150 亿用户账户能够使用 FIDO2 认证。
虽然 FIDO 1.0 和 FIDO2 都支持无密码身份验证,但 FIDO2 通过移动设备、桌面或安全密钥进行完全无密码的强身份验证,显著扩展了 FIDO 标准的范围和能力。
FIDO2 通过消除在多因素认证 (MFA) 中将密码作为第一因素的需求,提供了更友好的登录体验。它还提供了标准化的、基于网络的 API,便于采用。
要最清晰地了解 FIDO 1.0 与 FIDO2 的区别,需要审视该标准各版本背后的具体协议。
FIDO UAF 是 FIDO 联盟最早开发的协议之一。它提供了无需密码即可登录服务的能力。用户无需密码,可直接通过设备使用语音或面部识别等生物特征数据,或 PIN 码进行身份验证。
然而,UAF 缺乏标准化,导致其难以在各种网络浏览器、应用程序和服务器中集成与实施。这种受限的互操作性阻碍了其广泛采用。
FIDO U2F 旨在为依赖用户名和密码的系统提供双因素认证 (2FA)。2FA 要求用户提供第二因素来确认身份。U2F 使用物理安全密钥作为授权的第二因素。FIDO2 发布后,U2F 更名为“CTAP1”。
U2F 依赖物理安全密钥而非更广泛的设备(如智能手机和笔记本电脑),是其采用受限的一个因素。
WebAuthn 通过提供网络 API 扩展了 UAF 的功能,使依赖方能够轻松实现无密码认证。“依赖方”是指使用 FIDO 认证的网站和网络应用程序。
WebAuthn 还提供了 FIDO 标准,定义了网络应用程序、网络浏览器与认证器(如生物特征数据或安全密钥)之间的交互流程。
CTAP2 定义了 FIDO 客户端(例如 Web 浏览器或操作系统)如何与认证器通信。认证器是验证用户身份的组件。在 U2F(或 CTAP1)中,认证器始终是安全密钥。CTAP2 新增支持驻留在用户设备上的认证器,例如生物特征语音和面部识别、指纹或 PIN 码。