方法与愿景

FIDO 联盟目前制定了两组规范来实现更加简单、但更加强有力的身份验证:通用第二因子 (U2F) 和通用身份验证框架 (UAF)。联盟通过 fido-dev@fidoalliance.org 公开讨论列表为该技术的部署者提供支持。

最新版本的规范将始终在规范下载页面中提供下载。

用户体验

为应对广泛的用例和部署场景,FIDO 提供了两种用户体验。FIDO 协议基于公共密钥密码学,可有效防止网络钓鱼。

graphic_TheUserExperience

无密码 UX (UAF)

  • 用户携带安装有 UAF 栈的客户端设备
  • 用户出示本地生物识别特征或 PIN
  • 网站可选择是否保留密码

无密码的 FIDO 体验由通用身份验证框架 (UAF) 协议提供技术支持。在此体验中,用户通过选择本地身份验证机制将其设备注册到在线服务,这些机制包括手指划过屏幕、注释摄像头、通过话筒语音操作、输入 PIN 等。借助 UAF 协议,服务可选择向用户呈现哪些机制。

完成设备注册之后,当需要向服务进行身份验证时,用户只需要重复执行本地身份验证操作。在从此设备进行身份验证时,用户不再需要输入他们的密码。UAF 也实现了结合多种身份验证机制的用户体验,如指纹 + PIN。

第二因子 UX (U2F)

  • 用户携带网络浏览器内置支持的 U2F 设备
  • 用户出示 U2F 设备
  • 网站可简化密码(例如 4 位数的 PIN)

第二因子 FIDO 体验由通用第二因子 (UAF) 协议提供技术支持。借助这一体验,通过将增强型第二因子加入用户登录过程中,在线服务可有效加强其现有密码基础设施的安全性。用户如往常一样使用用户名和密码登录。服务还可随时提示用户出示所选择的第二因子设备。借助增强式第二因子,服务可在不影响安全性的前提下简化其密码(例如 4 位数的 PIN)。

在注册和身份验证期间,用户通过按下 USB 设备上的某个按钮或触碰 NFC 来出示第二因子。对于利用网络浏览器的内置支持功能支持此协议的所有在线服务,用户均可使用他们的 FIDO U2F 设备进行登录。