描述您的服务/平台/产品以及它如何使用 FIDO 身份验证。
日经新闻公司和日经集团追求其使命,“成为全球社区最值得信赖的独立优质新闻提供商,帮助我们的客户做出更好的决策”。我们提供各种媒体服务,包括日经新闻,它是我们作为新闻机构角色的基石。支持日经集团数字服务(包括我们的核心服务日经在线版)的综合 ID 平台是“日经 ID”。
提供广泛服务的日经 ID 长期以来一直面临平衡安全性和可用性的挑战。虽然我们实施了改善 OpenID Connect 登录体验、引入双因素身份验证和验证码 (*1) 等措施来降低未经授权访问的风险,但解决与密码泄露和重复使用相关的安全风险以及应对日益复杂的攻击一直很困难。
(*1)一种安全身份验证方法,用于验证用户是否为人类。
在此背景下,随着 FIDO 身份验证的发展和向服务引入通行密钥的门槛的降低,日经 ID 带着很高的期望进行考虑和实施。目前,我们不仅在扩展功能,还支持移动应用程序,旨在通过内部和外部博客文章、演示和日经 ID Lounge 帮助中心的指导提高用户意识来促进通行密钥的采用。
你试图克服哪些挑战?
主要目标是平衡安全性和用户体验。许多日经ID用户不习惯数字服务,因此仅仅增强安全性是不够的。例如,验证码的引入虽然可以防止暴力密码攻击,但对于无法通过图灵测试(*2)的用户来说,它也可能成为障碍,导致支持查询增加,增加客户服务负担。
(*2) 确定某物是否“类人”的测试。
然而,FIDO身份验证(通行密钥)通过与作系统和平台的集成作为标准,实现了高安全性和用户体验。这使我们能够取代安全措施,这些措施可以降低与密码身份验证相关的风险,但会对密钥的用户体验产生负面影响。
为什么选择 FIDO 身份验证而不是其他选项? 您认为实施 FIDO 的优势是什么?
以下两个选项被认为是 FIDO 身份验证(密钥)的替代方案:
- 强制实施双因素身份验证,例如 TOTP 或电子邮件验证
- 使用其他 ID 平台进行社交登录
通过比较这些选项,我们认为 FIDO 身份验证(密钥)具有以下优势:
- 它允许通过在现有密码身份验证之上添加身份验证来逐步过渡
- 它允许使用更高的用户体验身份验证方法,例如生物识别身份验证
- 它从根本上解决了与密码相关的风险
在实际实施中,“附加认证”方面尤为重要。换句话说,它允许以松散耦合和高度内聚的方式实现,而不会破坏现有的 ID 模型。WebAuthn 规范为每个平台上的后端和前端提供了简单的接口库和 API,使安全实施变得容易。此外,由于可以保留现有的身份验证方法,因此不会显着增加支持工作量的优势也很大。
描述您推出 FIDO 身份验证的情况。
我们使用开源后端库 WebAuthn4J 实现了自己的解决方案,用于 FIDO 身份验证。我们选择 WebAuthn4J 不仅因为它的数据模型清晰,还因为它通过了 FIDO 联盟提供的 FIDO2 测试工具。对于前端,我们开发了自己的实现,直接与 WebAuthn API 交互。此外,我们还创建了一个测试库来模拟 FIDO 身份验证,从而实现 24 小时自动化测试,作为对这些实现的全面测试。
FIDO 身份验证(密钥)的推出按以下步骤进行:
- 内部 Beta 测试以收集反馈并监控使用情况
- 外部安全公司的白盒和黑盒测试
- 向所有用户公开发布
您可以分享哪些数据点来显示 FIDO 身份验证的影响?
由于今年 2 月刚刚发布,我们还无法提供详细的数字,但已经有成千上万的用户在使用密钥。此外,我们听说支持台几乎没有关于如何使用密钥的询问,我们认识到密钥的使用很顺利。
资源
实现部分中提到的模拟 FIDO 身份验证的测试库作为 Nikkee 的开源软件公开提供。您可以从以下 https://github.com/Nikkei/nid-webauthn-emulator 获得它
对于完成 FIDO 身份验证(通行密钥)后的授权,我们使用 OpenID Connect 平台 Authlete。在本案例研究中,我们表达了对引入 FIDO 身份验证(密钥)的热情。(在 2023 年进行此演示时,密钥仍在考虑中) https://www.authlete.com/ja/resources/videos/20231212/02/
实施考虑阶段的技术博客文章: https://hack.nikkei.com/blog/advent20241221/
