方法与愿景

FIDO 联盟目前制定了两套技术规范来实现更便捷、更安全的身份认证:通用第二因子 (U2F) 和通用身份认证框架 (UAF)。联盟通过 fido-dev@fidoalliance.org 公开讨论列表为该技术的部署方提供支持。

最新版本的规范将始可在规范下载页面中提供下载。

用户体验

FIDO的两套技术规范为应对广泛的用例和部署场景提供了两种不同的用户体验。FIDO 协议基于公共密钥密码学,可有效防止网络钓鱼。

graphic_TheUserExperience

无密码 的用户体验 (UAF)

  • 用户携带安装有 UAF 栈的客户端设备
  • 用户出示本地生物识别特征或 PIN
  • 网站可选择是否保留密码

无密码的 FIDO 体验由通用身份认证框架 (UAF) 协议提供技术支持。在此方案中,用户通过选择本地身份认证机制将其设备注册到在线服务,这些认证机制包括指纹、人脸、声纹、输入 PIN 等。借助 UAF 协议,服务可选择向用户呈现哪些认证机制。

完成设备注册之后,当需要进行身份认证时,用户不再需要输入他们的密码,只需要重复执行本地身份认证操作。在从此设备进行身份认证时,用户不再需要输入他们的密码。UAF 也可实现多种身份认证机制相结合的用户体验,如指纹 + PIN。

通用第二因子 (U2F)

  • 用户携带网络浏览器内置支持的 U2F 设备
  • 用户出示 U2F 设备
  • 网站可简化密码(例如 4 位数的 PIN)

第二因子 FIDO 体验由通用第二因子 (U2F) 协议提供技术支持。借助这一体验,通过将强第二因子加入用户登录过程中,在线服务可有效加强其现有密码基础设施的安全性。用户如往常一样使用用户名和密码登录。服务还可随时提示用户出示所选择的第二因子设备。借助强第二因子,服务可在不影响安全性的前提下简化其密码(例如 4 位数的 PIN)。

在注册和身份认证期间,用户通过按下 USB 设备上的某个按钮或触碰 NFC 来出示第二因子。对于利用网络浏览器的内置支持功能支持此协议的所有在线服务,用户均可使用他们的 FIDO U2F 设备进行登录。