常见问题

无论贵公司是希望将基于FIDO的解决方案推向市场的供应商，还是希望了解向客户和/或员工部署FIDO身份验证最有效方法的服务提供商，成为FIDO联盟的成员都将受益匪浅。 您可以在这里了解更多信息。

请参阅FIDO Alliance会员网页上的必要步骤。

FIDO 采用 “轻量级 “非对称公钥加密技术，为服务提供商提供了一种方法，将公钥加密技术的安全优势扩展到更广泛的应用、领域和设备，尤其是在传统 PKI 难以实现或无法实现的领域。 FIDO 不是 PKI 的替代品，而是 PKI 的补充，它使更多的用户和应用程序能够使用非对称加密技术得到保护。 在使用用户名和密码的情况下，这一点尤为重要。

FIDO Alliance与万维网FIDO Alliance（W3C）共同开发了 FIDO2 规范，以便将 FIDO 身份验证功能内置到更多的设备、平台和网络浏览器中。 目前，Google Chrome、Mozilla Firefox、Microsoft Edge 和 Apple Safari（MacOS）、iOS 网页浏览器以及 Windows 10 和 Android 平台都支持 FIDO。

全球许多领先企业已经为其员工和用户部署了FIDO身份验证，从而降低了安全风险，改善了用户体验。 请在我们的主页 “谁在使用 FIDO “下查看示例。

FIDO Alliance发布了三套更简单、更强大的身份验证规范–FIDO U2F、FIDO UAF 和 FIDO2，以提供最广泛的使用案例和部署场景：

FIDO Alliance从成立之初就表示要通过制定规范来改变身份验证的本质，这些规范定义了一套开放的、可扩展的、可互操作的机制，以取代对密码的依赖，从而安全地验证在线服务用户的身份。 联盟成立两年后，于 2014 年 12 月发布了最终的 1.0 规范，以实现这一愿景。 这是业界通往更简单、更强大的无处不在的身份验证之路的一个重要里程碑，许多部署为全球用户带来了FIDO身份验证。 为了进一步增加对跨设备和平台的 FIDO 身份验证的支持，FIDO Alliance于 2019 年 3 月发布了第二套规范 FIDO2。 更多信息，请参阅 “FIDO Alliance为何认为需要 FIDO2？

FIDO Alliance发布了三套更简单、更强大的身份验证规范：FIDO Universal Second Factor (FIDO U2F)、FIDO UniversalAuthenticatorFramework (FIDO UAF) 和 Client toAuthenticatorProtocols (CTAP)。 CTAP 与W3C 的网络身份验证（WebAuthn）规范互为补充；两者合称为 FIDO2。

FIDO Alliance网站提供有关联盟、联盟规范、FIDO 认证产品、资源和最佳实践知识库以及总体进展情况的全面信息。 您还可以注册以接收最新信息和未来活动的邀请，其中许多活动都对公众开放。 您还可以在Twitter和/或LinkedIn上关注@FIDO联盟。

FIDO（快速身份在线）联盟是一个 501(c)6 非营利组织，成立于 2012 年年中，旨在制定相关标准，解决强身份验证设备之间缺乏互操作性的问题，以及用户在创建和记忆多个用户名和密码时遇到的问题。 要了解有关FIDO Alliance管理和结构的更多信息，请参阅 “关于FIDO “页面和 “会员详细信息 “页面。

FIDO 的规范是公开的，任何人都可以阅读和分析。 但是，只有FIDO Alliance成员才能享受不对其他成员的实施方案主张专利权的 “承诺”（详见《FIDO Alliance成员协议》）。 任何人都可以加入FIDO Alliance；我们甚至鼓励规模很小、成本很低的公司加入入门级FIDO Alliance。 所有级别的会员不仅可以从相互提供的非断言保护中获益，还可以与FIDO Alliance成员一起参与FIDO Alliance的活动和发展；准会员则享有更有限的参与权益（https://fidoalliance.org/members/membership-benefits/）。欢迎所有人加入FIDO Alliance并参与其中。

FIDO 规范与设备无关，支持全套身份验证技术，包括 FIDO 安全密钥和生物识别技术，如指纹和虹膜扫描仪、语音和面部识别，以及 PIN 或受图案保护的 microSD 卡。 FIDO 规范还将支持现有的解决方案和通信标准，如可信平台模块 (TPM)、USB 安全令牌、嵌入式安全元件 (eSE)、智能卡、低功耗蓝牙 (BLE) 和近场通信 (NFC)。 由于 FIDO 规范是开放的，因此其设计具有可扩展性，既能适应未来的创新，又能保护现有的投资。

FIDO Alliance成员均承诺遵守我们的成员协议中的承诺，不对任何其他成员实施 FIDO 1.0 最终规范（在我们的成员协议中称为 “拟议标准”）提出专利主张。 任何有兴趣部署 FIDO 兼容解决方案的人都可以不加入联盟而直接部署，我们强烈建议他们使用 FIDO 认证产品来实现部署。

FIDO Alliance 认证工作组负责测试产品是否符合 FIDO 规范以及这些实施之间的互操作性。 您可以在这里了解有关FIDO®认证计划的更多信息。

开放式行业标准确保现有和未来的产品与服务相互兼容，任何人都可以对技术进行评估。 只要是支持 FIDO 身份验证的地方，用户都可以放心使用其 FIDO 设备。 服务提供商和企业可以适应各种设备和服务，而无需进行新的投资或恢复专有配置。

不 为了入侵账户，犯罪分子不仅需要将用户的设备注册为账户的FIDOAuthenticator，还需要有能力破解Authenticator保护私钥而使用的用户Authenticator挑战–例如用户名和PIN码或生物特征。 这样一来，就很难侵入启用了 FIDO 的账户。

在 FIDO 身份验证中使用时，用户的生物识别数据永远不会离开设备，也不会存储在中央服务器上，因为中央服务器可能会在发生漏洞时窃取这些数据。 FIDO 的设备上身份验证模式消除了远程攻击的风险。 如果潜在的攻击者可以访问用户的实际设备，那么成功欺骗将相当困难。 首先，攻击者必须获得一个完美的、完整的潜指纹，而且这个指纹也在目标用户的设备上注册过。 然后，攻击者必须获得用户设备的访问权限，才能仅控制这一台设备。 单次欺骗即使成功，也无法与当今典型的大规模攻击所造成的潜在危害相提并论，因为大规模攻击可能导致数百万乃至数亿用户的凭据被窃取。

目前基于密码的身份验证模式已被证明容易受到大规模攻击和欺诈，与之不同的是，FIDO 身份验证凭证从不共享或存储在中央数据库中。 只有用户自己的设备才知道并维护 FIDO 凭据。 服务提供商存储的只是与用户设备配对的公钥，而用户设备存储的是私钥。 为了提高安全性和隐私性，FIDO 身份验证中使用的生物识别技术永远不会离开设备。 这种安全模式消除了网络钓鱼、各种形式的密码盗窃和重放攻击的风险。 潜在的攻击者甚至需要用户的物理设备才能尝试入侵（更多信息，请参阅下文 “如果有人窃取了设备，就不能入侵账户吗？） 密码生态系统为攻击者带来了巨大的投资回报，风险相对有限；而FIDO生态系统则要困难得多、昂贵得多、风险也大得多，攻击者很难从中获利。

FIDO Alliance最近推出了Authenticator 认证计划。 该课程专门为认证者介绍FIDO认证计划中的Authenticator者安全要求。 每个通过FIDO认证计划认证的身份验证器都要经过验证，以满足特定的安全保证级别，具体取决于供应商所寻求的安全级别。 级别越高，安全保证就越大。 有关该计划的更多信息，请访问：https://fidoalliance.org/certification/authenticator-certification-levels/。

不会，FIDO Authentication（FIDO身份验证）可防止此类信息交换。 每个设备/网站配对都需要单独注册和单独的加密密钥对。 用户一旦注册，就可以轻松地通过同一设备对多个网站进行身份验证，但每个网站都不知道用户与其他网站的交互情况。 FIDO 没有引入任何可用于关联用户在线活动的新跟踪机制。

不 FIDO Alliance只规定强身份验证的标准，并测试实施是否符合这些标准；联盟不提供服务，也不为设备或网站提供设备。 设备制造商、在线服务提供商、企业和开发人员使用 FIDO 规范来制造产品、提供服务，并使网站和浏览器具备 FIDO 身份验证功能。 根据 FIDO 规范，用户的凭据必须保留在用户的设备上，绝不与提供商或服务共享。

IDWG 和 IoT 工作组现在向业界开放。 FIDO Alliance的所有董事会和发起人级别的成员均可参加FIDO Alliance的工作组。 有关加入联盟的更多信息，请访问https://fidoalliance.org/members/membership-benefits。

物联网工作组将为物联网设备提供全面的身份验证框架，以实现联盟的基本使命–无密码身份验证。 物联网工作组将开发使用案例、目标架构和规范，内容包括物联网设备验证/认证配置文件，以实现服务提供商和物联网设备之间的互操作性；自动入职，以及将应用程序和/或用户绑定到物联网设备；通过智能路由器和物联网集线器进行物联网设备验证和配置。

FIDO Alliance认为，包括生物特征 “自拍 “比对和政府颁发的身份证件认证在内的较新远程持有型技术有可能大大提高新账户登录和账户恢复的身份保证质量。 IDWG 将确定这类远程身份验证的标准以及其他标准，并制定认证计划和教育材料，以支持采用这些标准。

联盟成立了两个新的工作组：身份验证与绑定工作组（IDWG）和物联网技术工作组（IoT TWG），以制定这些领域的指导方针和认证标准。 FIDO Alliance将继续专注于开发和采用其用户身份验证标准和相关计划，并将其作为扩大工作的基础，现有成员和新的行业参与者也将为此做出贡献。

身份验证和物联网安全都与FIDO Alliance的核心重点–用户身份验证–相邻。 对于受 FIDO 身份验证保护的账户，当 FIDO 设备丢失或被盗时，账户恢复过程中的身份验证对于维护用户账户的完整性至关重要。 对于物联网设备，典型的行业做法是在发货时提供默认密码凭据并进行人工上机，这就使设备容易受到攻击。 通过行业合作和标准化，而不是各自为政的专有方法，可以最有效地解决这两个领域的安全漏洞。

最终，联盟将通过解决网络中存在安全漏洞的邻近技术领域，努力提高FIDO身份验证的效率和市场采用率。 FIDO 身份验证标准提供的高保证与用于账户恢复和物联网身份验证的低保证方法之间存在差距。 该联盟旨在加强身份验证保证，以支持更好的账户恢复，并自动进行安全设备入网，以消除物联网中密码的使用。

联盟宣布了新的工作领域，以制定身份验证和物联网 (IoT) 方面的标准和认证计划。

FIDO Alliance的工作才刚刚开始。 规范和认证计划在不断发展，我们的部署工作也变得更加重要。 此外，联盟刚刚启动了物联网和身份验证方面的新工作领域，利用联盟广泛的全球领先组织联盟，帮助实现用户身份验证相关技术的标准化。 有关这些工作区的更多信息，请阅读https://fidoalliance.org/fido-alliance-announces-id-and-iot-initiatives/。

FIDO Alliance为符合 FIDO2 规范的服务器、客户端和验证器提供互操作性测试和认证。 此外，联盟还推出了新的通用服务器Authenticator，用于与所有 FIDOAuthenticator类型（UAF、U2F、CTAP）互操作的服务器。 作为一种最佳做法，FIDO Alliance建议在线服务和企业部署通用服务器，以确保支持所有FIDO认证的身份验证器。

完全没有。 FIDO U2F 功能已并入 FIDO2 的 CTAP2 协议，FIDO U2F 安全密钥将继续适用于支持 U2F 身份验证的服务以及支持 FIDO2 身份验证的服务。

FIDO2 下的规范支持现有的无密码 FIDO UAF 和 FIDO U2F 用例和规范，并扩大了 FIDO Authentication 的可用性。 已经拥有符合 FIDO 标准的外部设备（如 FIDO U2F 安全密钥）的用户将可以继续在支持 WebAuthn 的网络应用程序中使用这些设备。 现有的 FIDO UAF 设备仍可用于已有的服务以及基于 FIDO UAF 协议的新服务产品。

可在此处查看目前的收养情况。

FIDO2 标准已发布并可在今天实施。 WebAuthn 已于 2019 年 3 月获得万维网联盟（W3C）的最终推荐地位，成为一项官方网络标准。 CTAP 是FIDO Alliance的最终规范。

FIDO Alliance与万维网FIDO Alliance（W3C）合作，为整个网络平台制定了FIDO身份验证标准，这样FIDO生态系统就可以通过支持该标准的整个网络浏览器和网络应用程序服务器社区来发展壮大。 万维网联盟是网络社区制定标准的地方，因此在该论坛开展工作更为实际。

一个好的经验法则是记住这个简单的等式：

FIDO2 = W3C WebAuthn + CTAP

这就是 FIDO2 发展的全部故事：

在 FIDO UAF 和 FIDO U2F 规范发布之后，FIDO Alliance致力于让全球用户更方便地使用 FIDO Authentication。 联盟制定了三个技术规范，定义了一个基于网络的应用程序接口（API），使FIDO身份验证能够直接内置到浏览器和平台中。 这些规范已于 2015 年 11 月提交给万维网国际标准组织 W3C。 FIDO Alliance的成员公司在万维网FIDO Alliance（W3C）的网络身份验证工作组（Web Authentication Working Group）内开展工作，最终确定了该应用程序接口，并将其命名为WebAuthn。 2019 年 3 月，WebAuthn 被正式认定为 W3C 网络标准。

在同一时期，FIDO Alliance创建并最终确定了 WebAuthn 的补充规范：客户端到Authenticator协议（CTAP）。 CTAP 允许用户使用他们已经拥有的设备（如手机、安全密钥或 Windows 10 PC）对支持 WebAuthn 的浏览器和平台进行身份验证，从而使用户更容易访问 WebAuthn。

WebAuthn 和 CTAP 合在一起称为 FIDO2。 FIDO Alliance负责管理和维护认证计划，以确保市场上所有 FIDO2 实施方案（客户端、服务器和认证设备）的互操作性。

FIDO Alliance的目标一直是在网络上实现无处不在的强身份验证。 这意味着要在人们日常使用的每台设备中建立对 FIDO 身份验证的支持。 联盟在最初的 FIDO U2F 和 FIDO UAF 规范方面取得了显著进展，尤其是在移动平台上。 FIDO2使FIDO身份验证成为浏览器和网络平台的内置功能，从而扩大了FIDO身份验证的覆盖范围，这是向联盟总体目标迈出的重要一步。

FIDO2 是全套 FIDO 最新标准的官方名称。

FIDO2 包括两种规格：

FIDO2 是FIDO Alliance最新一套强身份验证标准的总称。 FIDO2 包括两个规范：W3C 的 Web Authentication (WebAuthn) 和FIDO Alliance的 Client toAuthenticatorProtocol (CTAP)。

是的，您可以通过一个 FIDO 设备使用多个网站。 每个设备/网站配对都需要单独的注册和单独的加密密钥对。 用户一旦注册，就可以轻松地通过同一设备对多个网站进行身份验证，但每个网站都不知道用户与其他网站的交互情况。

如果用户购买了新设备或想使用多个 FIDO 设备，只需在他想使用这些设备的地点对每个设备进行注册即可。 一旦设备在某个站点注册，只要用户需要在该站点进行身份验证，该设备就会被识别。 当用户使用尚未注册的新设备访问网站时，网站会提示用户注册新的 FIDO 设备，以便在该网站使用新设备进行 FIDO 身份验证。

FIDO 模式的目的是为在线服务提供安全、简单的身份验证体验。 身份验证涉及用户使用设备通过网络连接服务。

FIDO Alliance证书编号格式为AA-NNNNNN-SSSSS，其中 AA 是计划标识符，NNNNNN 是认证编号，SSSSS 是产品标识符。 计划标识符与颁发证书所依据的认证计划相对应。

FIDO Alliance的工作人员将每月对FIDO认证标识的使用情况和公布的认证声明进行审核。 对实际执行情况的审计将由市场反馈驱动。 如有任何疑问，可通过认证标识违规 表提交反馈意见。

不 但是，产品必须经过认证，才能声称通过了FIDO认证并使用FIDO认证标识。

衍生认证的设立是为了简化认证流程，以适应拥有大量认证的实施者，而这些认证基本上都是基于相同的实施。 在这种情况下，实施者可以认证一个实施方案，其余的实施方案可以注册为该基础认证的 “衍生方案”。 衍生产品不需要参加互操作性活动来获得认证，但要求衍生产品实施运行并通过一致性测试。 与通过我们的测试工具和互操作性测试获得的原始认证相比，实施工作不能有任何实质性变化。 如果实施过程有变化，则需要进行 FIDO 影响分析，以确定实施过程是否需要 Delta认证或重新认证。

互操作性活动至少每 90 天举行一次，但可根据实施者的需求更频繁地举行。

费用按认证的实施项目计算，必须在颁发证书前支付。

有关每个项目的 FIDO认证费用概览，请访问认证费用页面。

是的。 欢迎非会员对其实施进行认证。

UAF 身份验证器规范定义了一个 AAID 字段，一半是供应商 ID，一半是设备 ID，用于唯一标识每个身份验证器。 供应商 ID 是 FIDO 分配给实施 UAF 身份验证器的每家公司的唯一标识符。 AAID 字段的另一半，即设备 ID，由实施公司分配给验证器。 只有 UAF Authenticators 需要供应商 ID。

只要产品的 FIDO 实施代码库没有任何实质性变化，该产品就可以无限期地通过认证。 只有在极少数情况下才能终止认证，如认定某项实施不适当地通过了测试工具或互操作性事件。 认证仅适用于特定的规范和实施类别（如 “UAFAuthenticator”）。 如果发布了新的主要规范版本（由 FIDO认证工作组决定），而实施方案希望声称与该规范一致，则需要进行新的认证。

使用 FIDO 认证标识需要签署 TMLA。 对于希望在其网站上使用认证标识的依赖方，有一个简化的流程，其中包括一份“无点击 “许可协议。

是的。 供应商可在其网站、产品材料、包装等处使用一个可识别的FIDO认证标识。

首先要确保您的实施通过一致性测试（需要注册）。 验证实施后，注册参加互操作性活动，就可以对产品进行认证了。

FIDO AllianceMetadata Service (MDS) 是一种基于网络的工具，FIDO 验证器供应商可在此发布元数据报表，供 FIDO 服务器下载。 这就为部署 FIDO 服务器的机构提供了一个集中、可信的 FIDO 验证器信息源。

希望将基于 FIDO 的解决方案推向市场的供应商公司和/或希望了解部署 FIDO 身份验证最有效方法的组织服务提供商，将从参与FIDO Alliance工作组的工作中获益匪浅。

通过参加FIDO Alliance的技术工作组，成员有能力塑造并尽早了解FIDO的技术成果，这有助于加快产品和服务的开发。 参加工作组还能让您的团队获得基于同行的反馈，以帮助自己的实施工作，同时还能创造机会，让贵公司的愿景在部署指南和建议中得到体现。

主要有四个测试步骤：

认证首先要使用FIDO Alliance提供的测试工具对规范一致性进行自我评估，然后在FIDO Alliance测试活动中与至少三个测试合作伙伴进行互操作性测试。 目前，认证计划还没有实验室方面的内容，但认证工作组目前正在审查制定和实施功能实验室认可计划的要求。 如需了解更多信息，请参阅入门网页。

是的。 实施机构必须为其申请认证的每个实施类别申请认证（并支付认证费用）。 例如，如果一个实施方案同时认证了 FIDO UAF 服务器和 FIDO2 服务器，则该实施方案必须同时遵守这两个服务器的认证流程（并支付这两个服务器的认证费用）。 实施工作最终将获得两项认证。 不同规范测试的主要区别在于它们有不同的测试工具和不同的互操作性事件。

不 只有通过FIDO认证计划并获得认证编号的产品才能声称自己是FIDO认证产品。

FIDO Alliance颁发的证书采用以下数字格式：

sssxyzayyyymmdd####

SSS – 规格编号（UAF 或 U2F）

X – 规格编号

Y – 规格次要编号

Z – 规格修订编号

A – 规范勘误编号

YYYY – 签发年份

MM – 发布月份

DD – 日发行

#### – The number of the certificate issued today

FIDO Alliance的工作人员将每月对FIDO认证标识的使用情况和公布的认证声明进行审核。 对实际执行情况的审计将由市场反馈驱动。 如有任何疑问，可通过认证标识违规 表提交反馈意见。

不 但是，产品必须经过认证，才能声称通过了FIDO认证并使用FIDO认证标识。

衍生认证的设立是为了简化认证流程，以适应拥有大量认证的实施者，而这些认证基本上都是基于相同的实施。 在这种情况下，实施者可以认证一个实施方案，其余的实施方案可以注册为该基础认证的 “衍生方案”。 衍生产品不需要参加互操作性活动来获得认证，但要求衍生产品实施运行并通过一致性测试。 与通过我们的测试工具和互操作性测试获得的原始认证相比，实施工作不能有任何实质性变化。 如果实施过程有变化，则需要进行 FIDO 影响分析，以确定实施过程是否需要 Delta认证或重新认证。

互操作性活动至少每 90 天举行一次，但可根据实施者的需求更频繁地举行。

费用按认证的实施项目计算，必须在颁发证书前支付。

是的。 欢迎非会员对其实施进行认证。

UAF 身份验证器规范定义了一个 AAID 字段，一半是供应商 ID，一半是设备 ID，用于唯一标识每个身份验证器。 供应商 ID 是 FIDO 分配给实施 UAF 身份验证器的每家公司的唯一标识符。 AAID 字段的另一半，即设备 ID，由实施公司分配给验证器。 只有 UAF Authenticators 需要供应商 ID。

只要产品的 FIDO 实施代码库没有任何实质性变化，该产品就可以无限期地通过认证。 只有在极少数情况下才能终止认证，如认定某项实施不适当地通过了测试工具或互操作性事件。 认证仅适用于特定的规范和实施类别（如 “UAFAuthenticator”）。 如果发布了新的主要规范版本（由 FIDO认证工作组决定），而实施方案希望声称与该规范一致，则需要进行新的认证。

使用 FIDO 认证标识需要签署 TMLA。 对于希望在其网站上使用认证标识的依赖方，有一个简化的流程，其中包括一份“无点击 “许可协议。

是的。 供应商可在其网站、产品材料、包装等处使用一个可识别的FIDO认证标识。

首先要确保您的实施通过一致性测试（需要注册）。 验证实施后，注册参加互操作性活动，就可以对产品进行认证了。

FIDO AllianceMetadata Service (MDS) 是一种基于网络的工具，FIDO 验证器供应商可在此发布元数据报表，供 FIDO 服务器下载。 这就为部署 FIDO 服务器的机构提供了一个集中、可信的 FIDO 验证器信息源。

希望将基于 FIDO 的解决方案推向市场的供应商公司和/或希望了解部署 FIDO 身份验证最有效方法的组织服务提供商，将从参与FIDO Alliance工作组的工作中获益匪浅。