FIDO Alliance执行董事兼首席营销官
FIDO Alliance 今天发布了一篇论文,概述了 FIDO 和无密码身份验证采用发展的后续步骤。 具体来说,我们正在引入多设备 FIDO 凭证的概念,以解决目前大规模部署消费者账户恢复所面临的挑战。
FIDO Alliance 确实成功地改变了身份验证的性质 – FIDO 身份验证现在内置于每个领先的设备和浏览器中,许多主要品牌都已向其用户提供 FIDO 登录。
然而,用户需要在每台新设备上为每项服务注册 FIDO 凭据,而首次登录通常需要输入密码,这是一项长期存在的挑战。 那么,如果您更换了手机或笔记本电脑,您的 FIDO 登录凭据会发生什么变化? 在当今的 FIDO 模式中,它们是无法恢复的。 这就给大规模部署 FIDO 带来了问题,因为消费者需要不断地在不同设备之间切换和更新设备。 企业面临的挑战较小,公司可以通过部署内部管理工具来解决这一问题,这些工具用于支持无密码身份验证,以及员工恢复账户和凭证。
因此,尽管 FIDO 如今已经可以大规模部署,但要让它像密码一样无处不在、无时不有,还缺少一项功能:让您可以在所有设备(即使是新设备)上使用 FIDO 凭据,而无需为每个账户重新注册。
引入多设备 FIDO 凭证
今天发布的新论文概述了 FIDO 发展的后续步骤,以解决这一限制。 该论文介绍了多设备FIDO凭证,业界也非正式地将其称为 “通行钥匙”,它可以让用户的FIDO登录凭证在用户的所有设备上随时可用。 这将有助于服务提供商通过解决账户恢复问题–大规模采用加密安全无密码身份验证的主要障碍–为消费者大规模提供无密码登录服务。
本白皮书概述了 FIDO Alliance 和 W3C WebAuthn 工作组如何提议实现这一目标,其中包括两个关键更新:
- 能够通过定义的协议将电话用作漫游验证器,以便在用户的电话(成为 FIDO 验证器)和用户尝试进行身份验证的设备之间进行通信。
- 使 FIDO 凭据在所有用户的设备上普遍可用 ,以确保它们能够在设备丢失后继续存在并在不同设备之间同步
我们希望通过引入这些新功能,使网站和应用程序能够提供端到端的真正无密码选项;无需密码或一次性密码 (OTP)。 登录的用户体验变成了对用户生物特征或设备 PIN 码的简单验证–这与消费者每天多次解锁设备时所采取的一致而简单的操作是一样的。 我们的愿景是,我们的所有设备、操作系统和浏览器都能获得这些体验。
FIDO Alliance 认为,在当今完全依赖密码或传统形式的 MFA(例如受到越来越多的攻击的 SMS OTP)的许多用例中,引入多设备 FIDO 凭证是朝着更广泛地部署防网络钓鱼 FIDO 身份验证迈出的重要一步。
我们期待听取业界利益相关者对这一发展的意见,并将在四月份的网络研讨会上分享更多细节。