Andrew Shikiar,FIDO联盟执行董事兼首席营销官

FIDO 联盟今天发布了一份文件,概述了 FIDO 和无密码身份验证应用发展的下一步。 具体来说,我们正在引入多设备 FIDO 凭证的概念,以解决目前大规模部署消费者账户恢复所面临的挑战。

FIDO联盟确实成功地改变了身份验证的本质–FIDO身份验证现已内置到所有主流设备和浏览器中,许多大品牌也已向其用户提供FIDO登录服务。

然而,用户需要在每台新设备上为每项服务注册 FIDO 凭据,而首次登录通常需要输入密码,这是一项长期存在的挑战。 那么,如果您更换了手机或笔记本电脑,您的 FIDO 登录凭据会发生什么变化? 在当今的 FIDO 模式中,它们是无法恢复的。 这就给大规模部署 FIDO 带来了问题,因为消费者需要不断地在不同设备之间切换和更新设备。 企业面临的挑战较小,公司可以通过部署内部管理工具来解决这一问题,这些工具用于支持无密码身份验证,以及员工恢复账户和凭证。

因此,尽管 FIDO 如今已经可以大规模部署,但要让它像密码一样无处不在、无时不有,还缺少一项功能:让您可以在所有设备(即使是新设备)上使用 FIDO 凭据,而无需为每个账户重新注册。

引入多设备 FIDO 凭证

The new paper released today outlines the next steps for the evolution of FIDO to address this limitation. The paper introduces multi-device FIDO credentials, also informally referred to by the industry as “passkeys,” which enable users to have their FIDO login credentials readily available across all of the user’s devices. This will help service providers bring passwordless sign-in to consumers at scale by addressing the issue of account recovery – the key barrier to mass adoption of cryptographically secure, passwordless authentication. 

该文件概述了FIDO联盟和万维网联盟WebAuthn工作组建议如何实现这一目标,其中包括两项关键更新:

  • 通过在用户手机(成为 FIDO 身份验证器)和用户试图进行身份验证的设备之间进行通信的定义协议,将手机用作漫游 身份验证器的能力
  • 在用户的所有设备上普遍提供 FIDO 凭据,以确保它们能够在设备丢失后继续使用并在不同设备间同步

我们希望通过引入这些新功能,使网站和应用程序能够提供端到端的真正无密码选项;无需密码或一次性密码 (OTP)。 登录的用户体验变成了对用户生物特征或设备 PIN 码的简单验证–这与消费者每天多次解锁设备时所采取的一致而简单的操作是一样的。 我们的愿景是,我们的所有设备、操作系统和浏览器都能获得这些体验。

FIDO联盟认为,多设备FIDO凭证的推出是在更大范围内部署抗网络钓鱼的FIDO身份验证的重要一步,因为目前许多使用案例完全依赖于密码或传统形式的MFA,如短信OTP,而短信OTP正受到越来越多的攻击。

我们期待听取业界利益相关者对这一发展的意见,并将在四月份的网络研讨会上分享更多细节。