一般问题
FIDO联盟的成立源于2009年底的一次谈话,当时担任Validity Sensors公司(指纹传感器制造商,后被Synaptics公司收购)首席技术官的Ramesh Kesanupalli提出了这一想法。 Kesanupalli问当时的PayPal首席信息安全官Michael Barrett是否有兴趣让paypal.com支持指纹识别。 Barrett回答说是,但前提是必须通过开放标准来实现。 由于没有可以使用的相关标准,Kesanupalli让Taher Elgamal(SSL的发明者)参与进来,讨论由此展开。 点击此处了解有关FIDO联盟的更多信息。
FIDO联盟于2013年初公开成立,共有六家成员公司。 从那时起,联盟在全球范围内发展了250多个会员,请点击此处查看会员名单。
FIDO(快速身份在线)联盟是一个501(c)6非营利组织,成立于2012年中期,旨在制定相关标准,解决强身份认证设备之间缺乏互操作性的问题,以及用户在创建和记忆多个用户名和密码时遇到的问题。 要了解有关FIDO联盟管理和结构的更多信息,请参阅“关于FIDO”页面和“会员详细信息”页面。
The FIDO Alliance has published three sets of specifications for simpler, stronger authentication: FIDO Universal Second Factor (FIDO U2F), FIDO Universal Authentication Framework (FIDO UAF) and the Client to Authenticator Protocols (CTAP). CTAP is complementary to the W3C’s Web Authentication (WebAuthn) specification; together, they are known as FIDO2.
FIDO联盟自成立之初就表示要通过制定规范来改变身份验证的本质,这些规范定义了一套开放的、可扩展的、可互操作的机制,以取代对密码的依赖,从而安全地验证在线服务用户的身份。 联盟成立两年后,于2014年12月发布了最终的1.0规范,以实现这一愿景。 这是业界通往更简单、更强大的无处不在的身份验证之路的一个重要里程碑,许多部署为全球用户带来了FIDO身份验证。 为了进一步增加对跨设备和平台的FIDO身份验证的支持,FIDO联盟于2019年3月发布了第二套规范—FIDO2。 更多信息,请参阅“FIDO联盟为何认为需要FIDO2?”
FIDO联盟发布了三套更简单、更强大的身份验证规范—FIDO U2F、FIDO UAF和FIDO2,以提供最广泛的使用案例和部署场景:
FIDO U2F支持第二因素体验,而FIDO UAF支持无密码体验。 新的FIDO2规范支持无密码、第二因素和多因素用户体验。 有关规范的详细信息,请参阅我们的规范概述。
所有FIDO标准都基于公钥加密技术,具有很强的防钓鱼和保护用户隐私的能力(更多信息,请参阅“FIDO的工作原理”)。
全球许多领先企业已经为其员工和用户部署了FIDO认证,从而降低了安全风险,改善了用户体验。 请在我们的主页“谁在使用FIDO”下查看示例。
FIDO联盟与W3C共同开发了FIDO2规范,以便将FIDO身份认证功能内置到更多的设备、平台和网络浏览器中。 目前,Google Chrome、Mozilla Firefox、Microsoft Edge和Apple Safari(MacOS)、iOS网页浏览器以及Windows 10和Android平台都支持FIDO。
FIDO采用“轻量级”非对称公钥加密技术,为服务提供商提供了一种方法,将公钥加密技术的安全优势扩展到更广泛的应用、领域和设备,尤其是在传统PKI难以实现或无法实现的地方。 FIDO不是PKI的替代品,而是PKI的补充,它使更多的用户和应用程序能够使用非对称加密技术得到保护。 这对于使用用户名和密码的情况尤为重要。
请参阅FIDO联盟会员页面上的必要步骤。
无论贵公司是希望将基于FIDO联盟的解决方案推向市场的供应商,还是希望了解向客户和/或员工部署FIDO认证的有效方案服务提供商,成为FIDO联盟的会员都将受益匪浅。 您可以在这里了解更多信息。
标准
开放式行业标准确保现有和未来的产品与服务相互兼容,任何人都可以对技术进行评估。 只要是支持FIDO认证的地方,用户都可以放心使用其FIDO设备。 服务提供商和企业可以适应各种设备和服务,而无需进行新的投资或恢复专有配置。
与WiFi、蓝牙、NFC和其他标准的开发类似,FIDO正在开发一套新的行业协议。 任何设备制造商、软件开发商和/或在线服务提供商都可以在其现有产品和服务中建立对FIDO协议的支持,从而使其用户的在线身份认证变得更简单、更强大。 有了标准化这一目标,FIDO生态系统就可以通过“净效应”来发展壮大,任何新的标准实施方案都可以立即与任何其他实施方案互操作,而无需在设备开发商和服务提供商之间预先作出任何安排。
FIDO联盟认证工作组负责测试产品是否符合FIDO规范以及这些实施之间的互操作性。 您可以在这里了解有关FIDO®认证计划的更多信息。
FIDO联盟会员均承诺遵守我们的会员协议中的承诺,不对任何其他会员实施FIDO 1.0最终规范(在我们的会员协议中称为“拟议标准”)提出专利主张。 任何有兴趣部署FIDO兼容解决方案的人都可以不加入联盟而直接部署,我们强烈建议他们使用FIDO认证产品来实现部署。
FIDO规范与设备无关,支持全套身份验证技术,包括FIDO安全密钥和生物识别技术,如指纹和虹膜扫描仪、语音和面部识别,以及PIN或受图案保护的microSD 卡。 FIDO规范还将支持现有的解决方案和通信标准,如可信平台模块(TPM)、USB安全令牌、嵌入式安全元件(eSE)、智能卡、低功耗蓝牙(BLE)和近场通信 (NFC)。 由于FIDO规范是开放的,因此其设计具有可扩展性,既能适应未来的创新,又能保护现有的投资。
FIDO规范允许用户(以及用户必须进行身份验证的服务提供商、在线商家或企业)在满足其需求或偏好的设备上有广泛的选择。
FIDO的规范是公开的,任何人都可以阅读和分析。 但是,只有FIDO联盟会员才能享受不对其他会员的实施方案主张专利权的“承诺”(详见《FIDO联盟会员协议》)。 任何人都可以加入FIDO联盟;我们甚至鼓励非常小的公司以非常低的成本加入入门级。 各级会员不仅受益于相互的非主张保护,而且参与到FIDO联盟会员、活动和发展中;准会员的参与福利则更为有限(https://fidoalliance.org/members/membership-benefits/)。所有人都被邀请加入FIDO联盟并参与其中。
FIDO与安全
不会 FIDO联盟只规定强身份认证的标准,并测试实施是否符合这些标准;联盟不提供服务,也不为设备或网站提供设备。 设备制造商、在线服务提供商、企业和开发商使用FIDO规范来制造产品、提供服务,并启用具有FIDO身份认证功能的网站和浏览器。 根据FIDO规范,用户的凭据必须保留在用户的设备上,绝不与提供商或服务共享。
不会,FIDO身份验证可防止此类信息交换。 每个设备/网站配对都需要单独注册和单独的加密密钥对。 用户一旦注册,就可以轻松地通过同一设备对多个网站进行身份验证,但每个网站都不知道用户与其他网站的交互情况。 FIDO没有引入任何可用于关联用户在线活动的新跟踪机制。
FIDO联盟最近推出了验证器认证计划。 该计划专门为验证器介绍FIDO认证计划中的验证器安全要求。 每个通过FIDO认证计划认证的身份验证器都要经过验证,以满足特定的安全保证级别,具体取决于供应商所寻求的安全级别。 级别越高,安全保障就越大。 有关该计划的更多信息,请访问:https://fidoalliance.org/certification/authenticator-certification-levels/。
目前基于密码的验证模式已被证明容易受到大规模攻击和欺诈,与之不同的是,FIDO验证凭据从不共享或存储在中央数据库中。 FIDO凭证仅由用户自己的设备知道并维护。 服务提供商存储的只是与用户设备配对的公钥,而用户设备存储的是私钥。 为了额外的安全和隐私,在FIDO验证中使用的生物识别技术永远不会离开设备。 这种安全模型消除了网络钓鱼、各种形式的密码盗窃和重放攻击的风险。 潜在的攻击者甚至需要用户的物理设备才能尝试入侵(更多信息,请参阅下文“如果有人窃取了设备,是不是就可以入侵账户?”) 密码生态系统为攻击者带来了巨大的投资回报,风险相对有限;而FIDO生态系统则要困难得多、昂贵得多、风险也大得多,攻击者很难从中获利。
在FIDO身份验证中使用时,用户的生物识别数据永远不会离开设备,也不会存储在中央服务器上,以免在违规时被盗。 FIDO的设备上身份验证模式消除了远程攻击的风险。 如果潜在的攻击者可以访问用户的实际设备,那么成功欺骗将相当困难。 首先,攻击者必须获得一个完美的、完整的潜在指纹,而且这个指纹也在目标用户的设备上注册过。 然后,攻击者必须获得用户设备的访问权限,才能仅控制这一台设备。 单次欺骗即使成功,也无法与当今典型的大规模攻击所造成的潜在危害相提并论,因为大规模攻击可能导致数百万乃至数亿用户的凭据被窃取。
不能。 为了入侵账户,犯罪分子不仅需要用户的设备(该设备已注册为该账户的FIDO身份验证器),而且还需要能够挫败身份验证器用来保护私钥(如用户名和PIN或生物特征)的用户识别挑战。 这样一来,就很难侵入启用了FIDO的账户。
FIDO的工作原理?
FIDO模式的目的是为在线服务提供安全、简单的身份验证体验。 身份验证涉及用户使用设备通过网络连接服务。
是的,您可以通过一个FIDO设备使用多个网站。 每个设备/网站配对都需要单独的注册和单独的加密密钥对。 用户一旦注册,就可以轻松地通过同一设备对多个网站进行身份验证,但每个网站都不知道用户与其他网站的交互情况。
如果用户获得了一个新设备或想要使用多个FIDO设备,用户只需要在他想要使用它们的站点注册每个设备。 一旦设备在某个站点注册,只要用户需要在该站点进行身份验证,该设备就会被识别。 当用户使用尚未注册的新设备访问网站时,网站会提示用户注册新的FIDO设备,以便在该网站使用新设备进行FIDO身份验证。
FIDO2
FIDO2是FIDO联盟最新一套强身份验证标准的总称。 FIDO2包括两个规范:W3C的WebAuthn规范和FIDO联盟的客户端到验证器协议 (CTAP)。
FIDO2标准使用户能够利用普通设备在移动和桌面环境中轻松认证在线服务,其安全性远远高于密码和短信OTP。
FIDO2包括两个规范:
- W3C WebAuthn。 网络验证规范定义了一个标准网络API,使浏览器用户能够使用比密码更强的加密密钥对登录。 该规范支持无密码登录和第二因素登录。 该规范允许在所有网络浏览器和相关网络平台基础设施上进行FIDO强身份认证。 (更多信息,请参阅问题“FIDO2和W3C WebAuthn之间的关系是什么?”。)
- FIDO CTAP。 CTAP使浏览器和操作系统能够与外部验证器(如USB设备、NFC和蓝牙设备)进行对话,并消除了用户在每台设备上重新注册的要求。 有了这一规范,用户就可以使用联网设备或手机等通过浏览器或平台登录电脑、平板电脑、物联网设备等,而后者是CTAP引入的全新用例。
FIDO2是全套FIDO最新标准的官方名称。
FIDO联盟的目标一直是在网络上实现无处不在的强身份认证。 这意味着要在人们日常使用的每台设备中建立对FIDO身份认证的支持。 联盟在最初的FIDO U2F和FIDO UAF规范方面取得了显著进展,尤其是在移动平台上。 FIDO2使FIDO认证成为浏览器和网络平台的内置功能,从而扩大了FIDO认证的覆盖范围,这是向联盟总体目标迈出的重要一步。
一个好的经验法则是记住这个简单的等式:
FIDO2 = W3C WebAuthn + CTAP
以下是FIDO2的发展历程:
在FIDO UAF和FIDO U2F规范发布之后,FIDO联盟致力于让全球用户更方便地使用FIDO身份验证。 联盟制定了三个技术规范,定义了一个基于网络的API,使FIDO身份验证能够直接内置到浏览器和平台中。 这些规范已于2015年11月提交给万维网国际标准组织W3C。 FIDO联盟的会员公司在万维网(W3C)的网络身份验证工作组(Web Authentication Working Group)内开展工作,最终确定了API,并将其命名为WebAuthn。 2019年3月,WebAuthn被正式认定为W3C网络标准。
在同一时期,FIDO联盟创建并最终确定了WebAuthn的补充规范:客户端到验证器协议(CTAP)。 CTAP允许用户使用他们已经拥有的设备(如手机、安全密钥或Windows 10 PC)对支持WebAuthn的浏览器和平台进行身份验证,从而使用户更容易访问 WebAuthn。
WebAuthn和CTAP合称为FIDO2。 FIDO联盟负责管理和维护认证计划,以确保市场上所有FIDO2实施方案(客户端、服务器和验证设备)的互操作性。
FIDO联盟与万维网(W3C)合作,为整个网络平台制定了FIDO身份验证标准,这样FIDO生态系统就可以通过支持该标准的整个网络浏览器和网络应用程序服务器社区来发展壮大。 万维网联盟是网络社区制定标准的地方,因此在该论坛开展工作更为实际。
FIDO2标准现已发布并可供实施。 WebAuthn已于2019年3月获得万维网联盟(W3C)的最终推荐地位,成为一项官方网络标准。 CTAP是FIDO联盟的最终规范。
可在此处查看目前的采用情况。
FIDO2下的规范支持现有的无密码FIDO UAF和FIDO U2F用例和规范,并扩大了FIDO身份验证的可用性。 已经拥有符合FIDO标准的外部设备(如FIDO U2F安全密钥)的用户将可以继续在支持WebAuthn的网络应用程序中使用这些设备。 现有的FIDO UAF设备仍然可以与已有的服务以及基于FIDO UAF协议的新服务产品一起使用。
当然不是。 FIDO U2F功能已经合并到FIDO2的CTAP2协议中,FIDO U2F安全密钥将继续与支持U2F身份验证的服务以及支持FIDO2身份验证的服务一起工作。
FIDO联盟的工作才刚刚开始。 规范和认证计划在不断发展,我们的部署工作也变得更加重要。 此外,联盟刚刚在物联网和身份认证方面启动了新的工作领域,利用联盟广泛的全球领先组织组成的联盟,帮助实现用户身份认证相关技术的标准化。 有关这些工作领域的更多信息,请阅读https://fidoalliance.org/fido-alliance-announces-id-and-iot-initiatives/。
元数据服务
FIDO联盟元数据服务(MDS)是一种基于网络的工具,FIDO验证器供应商可在此发布元数据报表,供FIDO服务器下载。 这为部署FIDO服务器的机构提供了一个集中、可信的FIDO验证器信息源。
有关FIDO联盟元数据服务的更多常见问题,请点击此处。
FIDO认证
是的。 供应商可在其网站、产品材料、包装等处使用一个可识别的FIDO认证标识。
使用FIDO认证标识需要签署TMLA。 对于希望在其网站上使用认证标识的依赖方,有一个简化的流程,其中包括一份“免点击”许可协议。
只要产品的FIDO实施代码库没有任何实质性变化,该产品就可以无限期地通过认证。 只有在极少数情况下才能终止认证,如认定某项实施不适当地通过了测试工具或互操作性事件。 认证仅适用于特定的规范和实施类别(如“UAF验证器”)。 如果发布了新的主要规范版本(由FIDO认证工作组决定),而实施方希望声称符合该规范,则需要进行新的认证。
UAF验证器规范定义了一个AAID字段,一半是供应商ID,一半是设备ID,用于唯一标识每个验证器。 供应商ID是FIDO分配给实施UAF验证器的每家公司的唯一标识符。 AAID字段的另一半,即设备ID,由实施公司分配给验证器。 只有UAF验证器需要供应商ID。
可以。 欢迎非会员对其实施进行认证。
费用按认证的实施项目计算,必须在颁发证书前支付。
有关每个项目的FIDO认证费用概览,请访问认证费用页面。
互操作性活动至少每90天举行一次,但可根据实施者的需求更频繁地举行。
衍生认证的设立是为了简化认证流程,以适应拥有大量认证的实施者,而这些认证基本上都是基于相同的实施。 在这种情况下,实施者可以认证一个实施方案,其余的实施方案可以注册为该基础认证的“衍生方案”。 衍生产品不需要参加互操作性活动来获得认证,但要求衍生产品实施运行并通过一致性测试。 与通过我们的测试工具和互操作性测试获得的原始认证相比,实施工作不能有任何实质性变化。 如果实施过程有变化,则需要进行FIDO影响分析,以确定实施过程是否需要Delta认证或重新认证。
不是的。 但是,产品必须经过认证,才能声称通过了FIDO认证并使用FIDO认证标识。
FIDO联盟的工作人员将每月对FIDO认证标识的使用情况和公布的认证声明进行审核。 对实际执行情况的审计将由市场反馈驱动。 如有任何疑问,可通过认证标识违规 表提交反馈意见。
FIDO联盟颁发的证书采用以下数字格式:
SSSXYZAYYYYMMDD####
SSS — 规范编号(UAF或U2F)
X — 规范编号
Y — 规范副编号
Z — 规范修订编号
A — 规范勘误编号
YYYY — 签发年份
MM — 签发月份
DD — 签发日期
#### — 当下签发的证书编号
不可以。 只有通过FIDO认证计划并获得认证编号的产品才能声称自己是FIDO认证产品。
是的。 实施机构必须为其申请认证的每个实施类别申请认证(并支付认证费用)。 例如,如果一个实施方案同时认证了FIDO UAF服务器和FIDO2服务器,则该实施方案必须同时遵守这两个服务器的认证流程(并支付这两个服务器的认证费用)。 实施工作最终将获得两项认证。 不同规范测试的主要区别在于它们有不同的测试工具和不同的互操作性活动。
对于那些对FIDO UAF计划感兴趣的人来说,只需为FIDO UAF验证器额外支付3,000美元的供应商ID费用,该费用将在完成认证流程并申请FIDO认证后记入认证费用中。
认证首先要使用FIDO联盟提供的测试工具对规范一致性进行自我评估,然后在FIDO联盟测试活动中与至少三个测试合作伙伴进行互操作性测试。 目前,认证计划还没有实验室方面的内容,但认证工作组目前正在审查制定和实施功能实验室认可计划的要求。 如需了解更多信息,请参阅入门网页。
主要有四个测试步骤:
- 一致性自我验证;使用测试工具确保
实施符合规范。 - 互操作性测试;实施者聚集在一起测试实施。
- 认证注册;将实施情况提交给FIDO进行认证。
- 可选的商标协议;使FIDO认证标志能够与产品或服务一起使用。
是的,所有验证器都必须满足额外的安全要求,并至少选择1(L1)级验证器认证。 验证器有五个主要测试步骤,取决于所选的安全级别:
第1级:
- 一致性自我验证;使用测试工具确保
实施符合规范。 - 互操作性测试;实施者聚集在一起测试实施。
- 在互操作期间,验证器必须根据FIDO验证器安全要求展示额外的互操作性。
- 验证器认证流程;
- 根据实施规范(即UAF、U2F或FIDO2)填写所有L1要求的供应商问卷。
- 向FIDO提交填写完整的供应商问卷,供FIDO安全秘书处审查。
- 认证注册;将实施情况提交给FIDO进行认证。 在证书签发之前,所有认证流程都将被核实完成。
- 可选的商标协议;使FIDO认证标志能够与产品或服务一起使用。
2级及以上:
- 一致性自我验证;使用测试工具确保
实施符合规范。 - 互操作性测试;实施者聚集在一起测试他们的实施方案
- 验证器供应商从经认证的安全实验室名单中进行选择,并协商评估过程:
- 供应商根据所选级别和规范填写供应商问卷,并将填写完毕的问卷提交给合同实验室进行评估
- 实验室将与供应商共同完成评估。
- 实验室将向FIDO安全秘书处提交一份完整的FIDO评估报告,以进行最终结果验证。
- 认证注册;将实施情况提交给FIDO进行认证。 在证书签发之前,所有认证流程都将被核实完成。
- 可选的商标协议;使FIDO认证标志能够与产品或服务一起使用。
实施方案必须满足两个主要标准:一是符合FIDO规范(在我们能够确定的范围内),二是能够与其他实施方案互操作。 这应该为企业和消费者提供信心,即FIDO认证实施提供更强大、更简单的身份验证的FIDO价值。
在被视为FIDO的典范之前,实施方案很可能还有一些问题需要解决。
不是。 不过,制造商必须是已在FIDO联盟注册并获得有效FIDO联盟供应商ID的公司。 元数据中有一个字段表明产品是否经过FIDO认证,因为有些依赖方可能更喜欢经过FIDO认证的产品。
生物识别计划
生物识别组件认证计划—首个面向整个行业的此类认证计划。 该计划利用经认证的独立实验室来认证生物识别子组件是否符合全球公认的生物识别性能和演示攻击检测(PAD)性能标准,以及是否适合商业用途。
FIDO联盟旨在通过新的生物识别组件认证计划为生物识别系统的提供商和用户带来多项益处。 在此之前,尽职调查由有能力进行此类审查的企业客户执行。 这就要求生物识别供应商为每个客户反复证明其性能。
FIDO联盟认证计划允许供应商只进行一次测试和认证,以验证其系统的性能,并在其潜在和现有客户群中重复使用该第三方验证,从而节省大量时间和成本。 对于客户(如受监管的在线服务提供商、原始设备制造商和企业)来说,它提供了一种标准化的方式,让他们相信自己所依赖的指纹、虹膜、脸部和/或语音识别生物识别系统能够可靠地识别用户并检测演示攻击。
不,生物识别组件认证计划与FIDO认证计划是分开的。 供应商需要通过FIDO验证器认证计划才能获得FIDO认证。 FIDO验证器认证计划验证生物识别验证器是否符合加密的FIDO规范,是否能与市场上的其他产品互操作,以及除生物识别性能外是否符合某些安全要求。
对于包含生物识别传感器的验证器,要获得最高级别的FIDO验证器安全认证,必须要有生物识别子组件证书,但对于较低级别的验证器,生物识别子组件证书不是必须的。 只有成功完成FIDO验证器认证计划的机构才能使用FIDO或FIDO认证商标。
生物识别组件认证计划的要求是根据ISO标准制定的:ISO/IEC 19795和SO/IEC 30107。
不会,测试由经认证的第三方实验室完成。 您可以在这里查看认证实验室名单: https://fidoalliance.org/certification/biometric-component-certification/fido-accredited-biometric-laboratories/
请访问https://fidoalliance.org/certification/biometric-component-certification/,了解生物识别组件认证计划的测试流程。
获得认证的供应商将获得生物识别子组件证书,以证明其通过了由FIDO联盟和认证实验室实施的严格测试。
有意参与该计划的生物识别技术供应商可访问https://fidoalliance.org/biometric-component-certification-program开始实施。
FIDO与监管
目前市场上有600多个FIDO认证产品,FIDO身份验证是企业实施更简单、更强大的认证的推荐方式,可满足GDPR的严格要求,同时还能提升用户体验。 阅读“FIDO身份验证和通用数据保护条例”(GDPR)以了解更多信息。
能! FIDO标准为企业提供了一种易于部署的方式,既能满足PSD2 SCA的要求,又能满足企业和用户对交易便利性的需求。 我们在文章“FIDO与PSD2:满足消费者对强身份认证的需求”中详细介绍了具体原因和方法。
FIDO与物联网
物联网设备上载涉及物理设备的安装和凭据的设置,以便设备能与目标云或平台安全通信。 如今,这种上载流程通常由技术人员手动完成,速度慢、成本高且不安全。 业内人士表示,安装和设置成本超过设备本身成本的情况并不少见。
因此,企业迫切需要一种“互联网的USB”—一种简单、安全、有效地将设备连接到网络上的方式,就像把键盘插入个人电脑一样。 FDO为企业提供全自动、基于标准的安全设置流程,从而解决了阻碍物联网发展的安全和上载问题。
有了FDO,企业不必再为冗长且技术性极强的安装过程支付比设备本身更多的费用。 相反,他们可以在安装(而不是制造)时决定要将设备上载到哪个网络和云平台上。 这在几个方面具有重要意义。 对于制造商来说,他们不再需要为每个客户创建单独的SKU。 对于安装人员来说,他们不再需要高成本的技术人员来上载设备,也不需要敏感或关键业务信息就能将设备添加到网络中。 因此,它是一种更具扩展性、成本效益和安全性的物联网设备上载方法。
FDO提供这些功能和优势:
简便性 — 企业不再需要为冗长和高技术含量的安装过程支付比设备本身更多的费用。 任何经验水平的人员都可以快速高效地执行高度自动化的FDO流程。
灵活性 — 企业可以在安装设备时(而不是制造设备时)决定将设备上载到哪个云平台。 单个设备SKU可以上载到任何平台,从而大大简化了设备供应链。
安全性 — FDO采用“不信任安装人员”的方法,这意味着安装人员不再需要也无法访问任何敏感的基础设施/访问控制。
阅读本文,全面了解FDO上载的原理。
安装时,由安装人员对物联网设备进行物理安装。 FDO协议在设备首次通电时调用。 通过设备、Rendezvous服务器和新所有者之间的协议合作,设备和新所有者能够相互证明自己,足以允许新所有者建立对设备的新加密控制。 当此过程完成时,设备将配备由新所有者提供的凭据。 阅读本文,全面了解FDO上载的原理。
目前,“终端用户”实际上指的是组织而不是个人。 ////利益相关者可以通过互操作的方式,在整个供应链中以安全、可互操作的方式上载来自任何制造商的设备。
终端用户和服务提供商/云提供商之间不一定有区别,因为应用程序可以在本地使用和/或在后台使用云服务。
FDO的互操作性对制造商极具吸引力。 后期绑定和互操作性意味着制造商可以生产一个SKU,并知道它可以安全地部署在任何与FDO兼容的环境中。 过去,制造商需要为每种不同的部署环境创建单独的SKU。
FDO采用“不信任安装人员”的方法,这意味着不再需要专门的安装人员,安装人员也不再需要或无法访问任何敏感的基础设施/访问控制。 这使得设备安装更快捷、更经济、更安全。
目前,我们正在制定一项认证计划,并正在确定测试标准和研究现有的FIDO认证。
Molex、IBM、BT和Intel等公司已经开始采用这种技术。 有关早期采用者的一些评论,请参见本文。
FIDO设备上载是通过联盟物联网技术工作组的工作开发的,该工作组由来自英特尔的联合主席Richard Kerslake、来自高通的联合主席Giridhar Mandyam和来自英特尔的副主席Geof Cooper领导。 其他参与规范编辑的公司包括亚马逊网络服务(AWS)、谷歌、微软和ARM。
通行密钥
任何无需密码的FIDO凭证都是通行密钥。
通行密钥是一种密码替代品,能让用户在各种设备上更快、更方便、更安全地登录网站和应用程序。 与密码不同的是,通行密钥可以抵御网络钓鱼,始终保持强大功能,而且在设计上没有共享的秘密。
它简化了应用程序和网站的账户注册,易于使用,可在用户的所有设备上使用,甚至可在物理距离内的其他设备上使用。
从技术角度看,通行密钥是FIDO凭证,可由浏览器发现,或置于本地应用程序中,或用于无密码认证的安全密钥中。 通行密钥以加密密钥对取代密码,可防钓鱼,提高登录安全性,改善用户体验。 加密密钥由终端用户设备(电脑、手机或安全密钥)提供,用于用户身份验证。
由手机或电脑操作系统管理的通行密钥通过云服务在用户设备之间自动同步。 云服务还存储FIDO凭证的加密副本。 在设计上,通行密钥也可以只在一个设备上使用,而且不能从该设备复制。 此类通行密钥有时被称为“单设备通行密钥”。 例如,物理安全密钥可以包含多个单设备通行密钥。
“通行密钥”是一个普通名词,就像“密码”一样。 除句首外,应使用小写。 “通行密钥”(复数形式为“passkeys”)是一个跨平台通用术语,而不是与任何特定平台绑定的功能。
在需要区分的情况下,通过云服务在用户设备之间同步的通行密钥一般称为“同步通行密钥”,而从未离开过单一设备的通行密钥(包括UAF应用程序上的密钥)称为“设备绑定通行密钥”。
通行密钥的主要用途是取代密码作为账户验证的第一/主要因素。
例如,用户可以使用手机上的通行密钥(而不是密码)登录网络服务。 由于基于手机的通行密钥可以在用户的所有设备上同步,因此升级到新手机的过程可以实现无缝过渡。
当用户被要求登录应用程序或网站时,用户会使用与解锁其设备(手机、电脑或安全钥匙)时相同的生物特征、PIN码或设备密码来批准登录。 应用程序或网站可以使用这种机制代替传统的用户名和密码。
是的。 用户设备(手机、电脑、安全钥匙)目前进行的本地生物识别处理没有任何变化。 生物识别信息和处理将继续留在设备上,绝不会发送到任何远程服务器上,服务器只看到生物识别检查成功的保证。
多年来,由于密码重复使用和数据库漏洞的普遍存在,密码一直是网络钓鱼攻击和凭证填充攻击的目标。
由于密码这一主要因素在多个方面存在根本性缺陷,因此业界普遍采用了分层附加第二因素的方法。 但不幸的是,最常用的第二因素形式,如一次性密码(OTP)和电话批准,既不方便又不安全。 它们会被钓鱼,而且如今正在大规模地被网络钓鱼。
由于通行密钥是FIDO凭证,因此我们现在有了一个主要因素,它单独使用比“密码+OTP”或“密码+电话批准”的组合更安全。
通行密钥同步是端到端加密的,同步提供方拥有强大的账户安全保护。
此外,同步通行密钥对于FIDO实现其使命至关重要,即通过在尽可能多的地方取代密码,使登录变得更简单、更安全。
这是因为,取代密码意味着在三个方面与密码“竞争”:
- 速度:应比创建或使用密码更快。
- 方便性:至少应与使用密码同样方便,甚至更方便。
- 安全性:应防钓鱼,并保证每个应用程序/网站/服务的唯一性。
速度
创建通行密钥后,用户无需遵守密码的复杂要求。 注册只需进行生物识别认证或输入PIN码,随后使用通行密钥登录也只需进行生物识别认证或输入PIN码,两者都比输入密码更快。
便利性
密码替代品的可用性必须与密码的便利性相竞争,而密码的主要可用性优势之一就是可以在任何设备上使用。
同步意味着用户的所有设备都可以使用同一个同步提供方提供的通行密钥。 与密码一样,从其他设备访问网站也不需要经过凭证注册/创建流程—通过对FIDO 联盟客户端到验证器协议(CTAP)的增强,支持跨设备登录,该协议使用蓝牙低功耗(BLE)来验证物理距离。
如果加密密钥绑定在用户的计算机或移动设备上,那么每次用户更换新设备时,RP就必须重新使用其他身份验证方法(通常是基于知识的凭据,如密码)。 在实际操作中,这往往意味着新设备的首次登录既不方便又容易被钓鱼。
通行密钥可以解决这个问题,因为在用户需要的时候,通行密钥就会出现在用户的设备上—从该设备第一次登录网站开始。
最后,用户经常忘记密码,且不设置备份电子邮件和电话号码。 有了通行密钥,用户只要带着设备就能登录,没有什么会被忘记的。 由于通行密钥可以备份,因此可以更好地防止丢失。
安全性
作为FIDO凭证的通行密钥允许依赖方(它们经常面临网络钓鱼、撞库、密码数据库泄露等威胁)用FIDO凭证取代密码。 FIDO为依赖方提供基于非对称加密技术的挑战—响应认证协议。 这意味着可以防止网络钓鱼,并消除服务器上的敏感机密,从而在安全性方面向前迈出了一大步。
防网络钓鱼是FIDO认证的一个核心设计目标。 无论加密密钥是否与硬件绑定,都能在登录时实现这一目标。 此外,由于没有密码可供窃取,密码数据库的漏洞(可能成为黑客的目标)不再构成威胁。
依赖方将使用内置WebAuthn(用于网站)和平台FIDO API(用于应用程序)来使用通行密钥登录。 通行密钥将内置支持主要的移动和桌面操作系统及浏览器。
现在和不久的将来,内置通行密钥就会自动同步到用户的所有设备上:
- 苹果公司宣布于2022年9月在iOS 16中提供支持,并于2022年10月在iPadOS 16和macOS Ventura中提供支持。
- 谷歌宣布从2022年10月起在安卓系统中支持通行密钥,2023年起在ChromeOS中支持通行密钥。
- 微软宣布在Windows Insiders Builds中支持通行密钥,在2023年晚些时候和2024年全年提供更加广泛的通行密钥支持。
大多数平台已经支持使用附近设备(如手机或安全密钥)的通行密钥登录。 其中包括:
- Windows上的Microsoft Edge和Google Chrome浏览器
- MacOS上的Edge、Safari和Google Chrome浏览器
- ChromeOS
另请参阅下两个问题,了解更多信息。 通行密钥使用相同的WebAuthn API进行访问,该API自2018年起已在所有平台和浏览器上使用。 通行密钥的跨设备同步由操作系统透明管理。
设备操作系统平台正在实施一项功能,将设备(如手机或笔记本电脑)上的通行密钥同步到与用户平台账户(如iOS/macOS的Apple ID、Android和ChromeOS的Google账户、Windows的Microsoft账户)绑定的设备云。 通行密钥的同步是端到端加密的。
当用户在自己的任何设备上创建通行密钥时,该通行密钥会同步到用户运行同一操作系统平台的所有其他设备上,这些设备也会登录到同一用户的平台账户中。 因此,在一个设备上创建的通行密钥可以在所有设备上使用。
值得注意的是,如果用户获得了使用相同平台操作系统的新设备,并用自己的平台账户进行了设置,那么用户的通行密钥就会同步,并可在新设备上登录。
举个例子就很容易理解:假设用户有一部安卓手机,并且已经有了RP的通行密钥。 现在,他们想在一台从未登录过的Windows电脑上登录RP网站。
用户访问Windows电脑上的RP网站。 然后,他们会在RP的登录网页上看到一个“登录”按钮,并按下该按钮。 用户现在可以选择使用其他设备登录RP。
当其他设备(比如手机)靠近Windows电脑(在BLE范围内)时,用户就会看到一个来自Android操作系统的弹出窗口。 弹出窗口会询问(实质上)“我看到您正试图在附近的这台电脑上登录RP,以下是我拥有的账户”。 用户选择一个账户后,Android操作系统会询问“请执行解锁操作,以批准使用此账户登录电脑”。 用户完成解锁后,就可以登录网站。
另外,用户也可以使用已在RP上注册的安全密钥设备,流程非常相似。 在这种情况下,用户将访问Windows计算机上的RP网站。 他们会在登录网页上看到一个“登录”按钮,然后按下该按钮。 当RP要求进行身份认证时,用户可以插入其安全密钥设备,通过生物识别或PIN解锁安全密钥,然后登录网站。
无论用户的手机运行的是何种操作系统,也无论用户登录的目标设备(如电脑、平板电脑、电视等)使用的是何种操作系统和浏览器,也无论用户使用的是何种型号的FIDO兼容安全密钥,上述示例中描述的流程都能正常工作。
所述流程现在可用于Chrome操作系统、Windows、Mac和Linux上的Google Chrome浏览器和Microsoft Edge。
FIDO跨设备认证流程利用CTAP 2.2,使用蓝牙低功耗(BLE)来验证物理距离,但不依赖蓝牙安全属性来保证登录的实际安全性。 CTAP传输被命名为“混合”,它在标准蓝牙安全特性的基础上使用了额外一层标准加密技术来保护数据。
通行密钥保存在用户的设备上(用户“所有”的东西),如果RP要求用户验证,则用户只能通过生物特征或PIN码(用户“所是”或“所知”的东西)来使用通行密钥。 因此,使用通行密钥进行身份验证体现了多因素安全的核心原则。
依赖方(RP)可能担心,攻击者会通过平台供应商账户的单一因素(如密码)获得通行密钥。 但在实践中,情况通常并非如此:平台供应商在验证用户身份并将通行密钥还原到用户设备时,会考虑用户密码之外的多种信号,其中有些信号用户可见,有些则不可见。
需要注意的是,一些监管制度仍需发展,以承认通行密钥是正式列出的多因素形式之一。 这是FIDO联盟积极参与的一个领域。
如果用户仍持有旧设备,则可以使用旧设备(如安卓设备)上的通行密钥登录用户在新设备(如iOS设备)上的账户。 登录后,用户可在新平台账户中创建通行密钥。
如果用户拥有FIDO安全密钥,就可以用它在新设备上安全地进行身份验证。
如果用户没有旧设备或安全密钥,那么可将从新设备(可能来自不同供应商)登录的情况视为正常的账户恢复情况,并采取适当措施让用户登录。
是的,FIDO安全密钥目前支持单设备通行密钥,自2019年以来一直如此,当时FIDO2增加了对通过可发现凭证和用户验证进行无密码登录的支持。 所有客户端平台和浏览器都已支持使用安全密钥。 安全密钥供应商将来可能会选择支持通行密钥同步。
网络服务可以利用通行密钥来支持一系列用例。 例如,如果用户换了新电脑,就可以就近(如插入USB或使用NFC)向电脑出示安全密钥,然后登录自己的在线账户。
由于所有通行密钥都是FIDO凭据,因此支持FIDO的网络服务将能够支持所有通行密钥的实现。
有特殊合规需求的特定环境可能需要保证只有一份加密密钥可用。 FIDO安全密钥上的通行密钥是此类使用案例的很好的解决方案。
此外,如果用户丢失了所有其他移动设备和其他已同步通行密钥的设备,这种FIDO安全密钥可以作为恢复凭据。
为什么我的公司应该考虑加入FIDO联盟?
无论贵公司是希望将基于FIDO联盟的解决方案推向市场的供应商,还是希望了解向客户和/或员工部署FIDO验证很有效方法的服务提供商,成为FIDO联盟的会员都将受益匪浅。 您可以在这里了解更多信息。
加入FIDO联盟的流程是什么?
请参阅FIDO联盟会员网页上的必要步骤。
FIDO与PKI相比有何优势?
FIDO采用“轻量级”非对称公钥加密技术,为服务提供商提供了一种方法,将公钥加密技术的安全优势扩展到更广泛的应用、领域和设备,尤其是在传统PKI难以实现或无法实现的领域。 FIDO不是PKI的替代品,而是PKI的补充,它使更多的用户和应用程序能够使用非对称加密技术得到保护。 在用户名和密码作为替代选项的情况下,这一点尤其重要。
哪些设备和平台支持FIDO?
FIDO联盟与W3C共同开发了FIDO2规范,以便将FIDO验证功能内置到更多的设备、平台和网络浏览器中。 目前,Google Chrome、Mozilla Firefox、Microsoft Edge和Apple Safari(MacOS)、iOS网页浏览器以及Windows 10和Android平台都支持FIDO。
目前市场上部署FIDO的实例有哪些?
全球许多领先企业已经为其员工和用户部署了FIDO认证,从而降低了安全风险,改善了用户体验。 请在我们的主页“谁在使用FIDO”下查看示例。
FIDO为什么要发布多个规范? 有哪些区别?
FIDO联盟发布了三套更简单、更强大的身份验证规范—FIDO U2F、FIDO UAF和FIDO2,以提供最广泛的使用案例和部署场景:
FIDO规范是何时发布的?
FIDO联盟自成立之初就表示要通过制定规范来改变身份验证的本质,这些规范定义了一套开放的、可扩展的、可互操作的机制,以取代对密码的依赖,从而安全地验证在线服务用户的身份。 联盟成立两年后,于2014年12月发布了最终的1.0规范,以实现这一愿景。 这是业界通往更简单、更强大的无处不在的身份验证之路的一个重要里程碑,许多部署为全球用户带来了FIDO身份验证。 为了进一步增加对跨设备和平台的FIDO身份验证的支持,FIDO联盟于2019年3月发布了第二套规范—FIDO2。 更多信息,请参阅“FIDO联盟为何认为需要FIDO2?”
FIDO有哪些规范?
The FIDO Alliance has published three sets of specifications for simpler, stronger authentication: FIDO Universal Second Factor (FIDO U2F), FIDO Universal Authentication Framework (FIDO UAF) and the Client to Authenticator Protocols (CTAP). CTAP is complementary to the W3C’s Web Authentication (WebAuthn) specification; together, they are known as FIDO2.
跟踪FIDO进展的最佳方式是什么?
FIDO联盟官网提供有关联盟、联盟规范、FIDO认证产品、资源和优秀实践知识库以及总体进展情况的全面信息。 您还可以注册以接收最新信息和未来活动的邀请,其中许多活动都对公众开放。 您还可以在Twitter和/或LinkedIn上关注@FIDOalliance。
FIDO联盟是非营利组织吗? 范围是什么?
FIDO(快速身份在线)联盟是一个501(c)6非营利组织,成立于2012年中期,旨在制定相关标准,解决强身份认证设备之间缺乏互操作性的问题,以及用户在创建和记忆多个用户名和密码时遇到的问题。 要了解有关FIDO联盟管理和结构的更多信息,请参阅“关于FIDO”页面和“会员详细信息”页面。
FIDO规范是否允许任何人开始使用该规范开发和提供FIDO认证产品?
FIDO的规范是公开的,任何人都可以阅读和分析。 但是,只有FIDO联盟会员才能享受不对其他会员的实施方案主张专利权的“承诺”(详见《FIDO联盟会员协议》)。 任何人都可以加入FIDO联盟;我们甚至鼓励非常小的公司以非常低的成本加入入门级。 各级会员不仅受益于相互的非主张保护,而且参与到FIDO联盟会员、活动和发展中;准会员的参与福利则更为有限(https://fidoalliance.org/members/membership-benefits/)。所有人都被邀请加入FIDO联盟并参与其中。
哪种FIDO令牌/加密狗/设备比其他的更好吗? 如何选择购买哪一款?
FIDO规范与设备无关,支持全套身份验证技术,包括FIDO安全密钥和生物识别技术,如指纹和虹膜扫描仪、语音和面部识别,以及PIN或受图案保护的microSD 卡。 FIDO规范还将支持现有的解决方案和通信标准,如可信平台模块(TPM)、USB安全令牌、嵌入式安全元件(eSE)、智能卡、低功耗蓝牙(BLE)和近场通信 (NFC)。 由于FIDO规范是开放的,因此其设计具有可扩展性,既能适应未来的创新,又能保护现有的投资。
FIDO是否向任何人提供了实施权?
FIDO联盟会员均承诺遵守我们的会员协议中的承诺,不对任何其他会员实施FIDO 1.0最终规范(在我们的会员协议中称为“拟议标准”)提出专利主张。 任何有兴趣部署FIDO兼容解决方案的人都可以不加入联盟而直接部署,我们强烈建议他们使用FIDO认证产品来实现部署。
怎样确保我购买的产品符合FIDO标准?
FIDO联盟认证工作组负责测试产品是否符合FIDO规范以及这些实施之间的互操作性。 您可以在这里了解有关FIDO®认证计划的更多信息。
标准为何重要?
开放式行业标准确保现有和未来的产品与服务相互兼容,任何人都可以对技术进行评估。 只要是支持FIDO认证的地方,用户都可以放心使用其FIDO设备。 服务提供商和企业可以适应各种设备和服务,而无需进行新的投资或恢复专有配置。
如果有人偷了设备,能不能侵入设备上的账户呢?
不能。 为了入侵账户,犯罪分子不仅需要用户的设备(该设备已注册为该账户的FIDO身份验证器),而且还需要能够挫败身份验证器用来保护私钥(如用户名和PIN或生物特征)的用户识别挑战。 这样一来,就很难侵入启用了FIDO的账户。
FIDO生物识别验证方法如何使用户更安全? 有人会从设备或在线服务中窃取我的生物识别信息吗?
在FIDO身份验证中使用时,用户的生物识别数据永远不会离开设备,也不会存储在中央服务器上,以免在违规时被盗。 FIDO的设备上身份验证模式消除了远程攻击的风险。 如果潜在的攻击者可以访问用户的实际设备,那么成功欺骗将相当困难。 首先,攻击者必须获得一个完美的、完整的潜在指纹,而且这个指纹也在目标用户的设备上注册过。 然后,攻击者必须获得用户设备的访问权限,才能仅控制这一台设备。 单次欺骗即使成功,也无法与当今典型的大规模攻击所造成的潜在危害相提并论,因为大规模攻击可能导致数百万乃至数亿用户的凭据被窃取。
FIDO身份验证如何使用户在网络上更安全?
目前基于密码的验证模式已被证明容易受到大规模攻击和欺诈,与之不同的是,FIDO验证凭据从不共享或存储在中央数据库中。 FIDO凭证仅由用户自己的设备知道并维护。 服务提供商存储的只是与用户设备配对的公钥,而用户设备存储的是私钥。 为了额外的安全和隐私,在FIDO验证中使用的生物识别技术永远不会离开设备。 这种安全模型消除了网络钓鱼、各种形式的密码盗窃和重放攻击的风险。 潜在的攻击者甚至需要用户的物理设备才能尝试入侵(更多信息,请参阅下文“如果有人窃取了设备,是不是就可以入侵账户?”) 密码生态系统为攻击者带来了巨大的投资回报,风险相对有限;而FIDO生态系统则要困难得多、昂贵得多、风险也大得多,攻击者很难从中获利。
如何防止root工具包和恶意软件对嵌入式指纹传感器的攻击?
FIDO联盟最近推出了验证器认证计划。 此FIDO认证计划专门为身份验证器提出了身份验证器安全要求。 每个通过FIDO认证计划认证的验证器都要经过验证,以满足特定的安全保证级别,具体取决于供应商所寻求的安全级别。 级别越高,安全保证就越大。 有关该计划的更多信息,请访问:https://fidoalliance.org/certification/authenticator-certification-levels/。
如果我在多个网站上使用同一设备,其中一个网站是否会知道我在另一个网站上使用该设备?
不会,FIDO身份验证可防止此类信息交换。 每个设备/网站配对都需要单独注册和单独的加密密钥对。 用户一旦注册,就可以轻松地通过同一设备对多个网站进行身份验证,但每个网站都不知道用户与其他网站的交互情况。 FIDO没有引入任何可用于关联用户在线活动的新跟踪机制。
FIDO会获取我的任何个人信息吗?
不会。 FIDO联盟只规定强身份验证标准,并测试实现是否符合这些标准;联盟不提供服务、装备设备或站点。 设备制造商、在线服务提供商、企业和开发人员使用FIDO规范来制造产品、提供服务,并使网站和浏览器具备FIDO身份验证功能。 根据FIDO规范,用户的凭证必须保留在用户的设备上,绝不与提供商或服务共享。
企业如何参与FIDO联盟的新工作领域?
IDWG和IoT TWG现在向业界开放。 FIDO联盟的所有董事会和赞助商级别的会员均可参加FIDO联盟的工作组。 有关加入联盟的更多信息,请访问https://fidoalliance.org/members/membership-benefits。
物联网技术工作组(IoT TWG)将做些什么?
物联网技术工作组(IoT TWG)将为物联网设备提供全面的身份验证框架,以实现联盟的基本使命—无密码身份验证。 物联网技术工作组将开发使用案例、目标架构和规范,内容包括物联网设备鉴证/验证配置文件,以实现服务提供商和物联网设备之间的互操作性;自动上载,以及将应用程序和/或用户绑定到物联网设备;通过智能路由器和IoT Hub进行物联网设备验证和配置。
身份验证和绑定工作组(IDWG)将做些什么?
FIDO联盟已经确定了新的远程、基于用户“所有”的技术,包括生物识别“自拍”匹配和政府颁发的身份证件认证,这些技术有可能大大提高新账户登录和账户恢复的身份保证质量。 IDWG将确定这类远程身份验证的标准以及其他标准,并制定认证计划和教育材料,以支持采用这些标准。
联盟将如何执行这些新标准和认证计划?
联盟成立了两个新的工作组:身份验证与绑定工作组(IDWG)和物联网技术工作组(IoT TWG),以制定这些领域的指导方针和认证标准。 FIDO联盟将继续专注于开发和部署其用户身份验证标准和相关计划,并将其作为扩大工作的基础,现有会员和新的行业参与者也将为此做出贡献。
这些新领域与用户身份验证有何关系?
身份验证和物联网安全都与FIDO联盟的核心重点“用户身份验证”密切相关。 对于受FIDO身份验证保护的账户,当FIDO设备丢失或被盗时,账户恢复过程中的身份验证对于维护用户账户的完整性至关重要。 对于物联网设备,典型的行业做法是在发货时提供默认密码凭证并进行人工上载,这就使设备容易受到攻击。 通过行业合作和标准化,而不是各自为政的专有方法,可以最有效地解决这两个领域的安全漏洞。
FIDO联盟想通过这些新举措实现什么目标?
最终,联盟将努力通过解决在网络上留下安全漏洞的相邻技术领域来提高FIDO验证的有效性和市场采用率。 FIDO身份验证标准提供的高保证与用于账户恢复和物联网身份验证的低保证方法之间存在差距。 FIDO联盟旨在加强身份验证保证,以支持更好的账户恢复,并自动进行安全设备上载,以消除物联网中密码的使用。
FIDO联盟有哪些新的工作领域?
联盟宣布了新的工作领域,以制定身份验证和物联网(IoT)方面的标准和认证计划。
FIDO联盟和FIDO标准的下一步是什么?
FIDO联盟的工作才刚刚开始。 规范和认证计划在不断发展,我们的部署工作也变得更加重要。 此外,联盟刚刚启动了物联网和身份验证方面的新工作领域,利用联盟广泛的全球领先组织联盟,帮助实现用户身份验证相关技术的标准化。 有关这些工作领域的更多信息,请阅读https://fidoalliance.org/fido-alliance-announces-id-and-iot-initiatives/。
FIDO联盟如何确保FIDO2的互操作性?
FIDO联盟为符合FIDO2规范的服务器、客户端和验证器提供互操作性测试和认证。 此外,联盟还推出了新的通用服务器认证,用于与所有FIDO验证器类型(UAF、U2F、CTAP)互操作的服务器。 作为最佳实践,FIDO联盟建议在线服务和企业部署通用服务器,以确保支持所有FIDO认证的身份验证器。
FIDO2是否意味着FIDO U2F已废弃?
当然不是。 FIDO U2F功能已经合并到FIDO2的CTAP2协议中,FIDO U2F安全密钥将继续与支持U2F身份验证的服务以及支持FIDO2身份验证的服务一起工作。
FIDO2是否取代了FIDO U2F和FIDO UAF规范?
FIDO2下的规范支持现有的无密码FIDO UAF和FIDO U2F用例和规范,并扩大了FIDO身份验证的可用性。 已经拥有符合FIDO标准的外部设备(如FIDO U2F安全密钥)的用户将可以继续在支持WebAuthn的网络应用程序中使用这些设备。 现有的FIDO UAF设备仍然可以与已有的服务以及基于FIDO UAF协议的新服务产品一起使用。
FIDO2浏览器和平台的实施情况如何?
可在此处查看目前的采用情况。
FIDO2规范的制定情况如何?
FIDO2标准现已发布并可供实施。 WebAuthn已于2019年3月获得万维网联盟(W3C)的最终推荐地位,成为一项官方网络标准。 CTAP是FIDO联盟的最终规范。
为什么FIDO联盟要向W3C提交规范?
FIDO联盟与万维网(W3C)合作,为整个网络平台制定了FIDO身份验证标准,这样FIDO生态系统就可以通过支持该标准的整个网络浏览器和网络应用程序服务器社区来发展壮大。 万维网联盟是网络社区制定标准的地方,因此在该论坛开展工作更为实际。
FIDO2和W3C的WebAuthn之间有什么关系?
一个好的经验法则是记住这个简单的等式:
FIDO2 = W3C WebAuthn + CTAP
以下是FIDO2的发展历程:
在FIDO UAF和FIDO U2F规范发布之后,FIDO联盟致力于让全球用户更方便地使用FIDO身份验证。 联盟制定了三个技术规范,定义了一个基于网络的API,使FIDO身份验证能够直接内置到浏览器和平台中。 这些规范已于2015年11月提交给万维网国际标准组织W3C。 FIDO联盟的会员公司在万维网(W3C)的网络身份验证工作组(Web Authentication Working Group)内开展工作,最终确定了API,并将其命名为WebAuthn。 2019年3月,WebAuthn被正式认定为W3C网络标准。
在同一时期,FIDO联盟创建并最终确定了WebAuthn的补充规范:客户端到验证器协议(CTAP)。 CTAP允许用户使用他们已经拥有的设备(如手机、安全密钥或Windows 10 PC)对支持WebAuthn的浏览器和平台进行身份验证,从而使用户更容易访问 WebAuthn。
WebAuthn和CTAP合称为FIDO2。 FIDO联盟负责管理和维护认证计划,以确保市场上所有FIDO2实施方案(客户端、服务器和验证设备)的互操作性。
为什么FIDO联盟认为FIDO2是必要的?
FIDO联盟的目标一直是在网络上实现无处不在的强身份验证。 这意味着要在人们日常使用的每台设备中建立对FIDO身份验证的支持。 联盟在最初的FIDO U2F和FIDO UAF规范方面取得了显著进展,尤其是在移动平台上。 FIDO2使FIDO身份验证成为浏览器和网络平台的内置功能,从而扩大了FIDO身份验证的覆盖范围,这是向联盟总体目标迈出的重要一步。
是“FIDO2”还是“FIDO 2.0”?
FIDO2是全套FIDO最新标准的官方名称。
FIDO2包括哪些规范?
FIDO2包括两个规范:
什么是FIDO2?
FIDO2是FIDO联盟最新一套强身份验证标准的总称。 FIDO2包括两个规范:W3C的WebAuthn规范和FIDO联盟的客户端到验证器协议 (CTAP)。
我可以在多个网站上使用同一个FIDO设备吗? 我可以在同一个网站上使用多个FIDO设备吗?
是的,您可以通过一个FIDO设备使用多个网站。 每个设备/网站配对都需要单独的注册和单独的加密密钥对。 用户一旦注册,就可以轻松地通过同一设备对多个网站进行身份验证,但每个网站都不知道用户与其他网站的交互情况。
如果用户获得了一个新设备或想要使用多个FIDO设备,用户只需要在他想要使用它们的站点注册每个设备。 一旦设备在某个站点注册,只要用户需要在该站点进行身份验证,该设备就会被识别。 当用户使用尚未注册的新设备访问网站时,网站会提示用户注册新的FIDO设备,以便在该网站使用新设备进行FIDO身份验证。
没有互联网连接时,FIDO设备还能工作吗?
FIDO模式的目的是为在线服务提供安全、简单的身份验证体验。 身份验证涉及用户使用设备通过网络连接服务。
FIDO联盟颁发的证书的编号格式是什么?
FIDO联盟证书编号格式为AA-NNNNNN-SSSSS,其中AA是计划标识符,NNNNNN是认证编号,SSSSS是产品标识符。 计划标识符与颁发证书所依据的认证计划相对应。
市场上产品的审核流程是什么?
FIDO联盟的工作人员将每月对FIDO认证标识的使用情况和公布的认证声明进行审核。 对实际执行情况的审计将由市场反馈驱动。 如有任何疑问,可通过认证标识违规 表提交反馈意见。
必须对产品进行认证才能将其推向市场吗?
不是的。 但是,产品必须经过认证,才能声称通过了FIDO认证并使用FIDO认证标识。
FIDO联盟如何认证衍生产品?
衍生认证的设立是为了简化认证流程,以适应拥有大量认证的实施者,而这些认证基本上都是基于相同的实施。 在这种情况下,实施者可以认证一个实施方案,其余的实施方案可以注册为该基础认证的“衍生方案”。 衍生产品不需要参加互操作性活动来获得认证,但要求衍生产品实施运行并通过一致性测试。 与通过我们的测试工具和互操作性测试获得的原始认证相比,实施工作不能有任何实质性变化。 如果实施过程有变化,则需要进行FIDO影响分析,以确定实施过程是否需要Delta认证或重新认证。
测试活动多久举行一次?
互操作性活动至少每90天举行一次,但可根据实施者的需求更频繁地举行。
如果我不是FIDO联盟会员,我能否获得FIDO认证?
可以。 欢迎非会员对其实施进行认证。
什么是供应商ID,谁需要?
UAF验证器规范定义了一个AAID字段,一半是供应商ID,一半是设备ID,用于唯一标识每个验证器。 供应商ID是FIDO分配给实施UAF验证器的每家公司的唯一标识符。 AAID字段的另一半,即设备ID,由实施公司分配给验证器。 只有UAF验证器需要供应商ID。
产品认证期限有多长,协议变更时是否需要重新认证?
只要产品的FIDO实施代码库没有任何实质性变化,该产品就可以无限期地通过认证。 只有在极少数情况下才能终止认证,如认定某项实施不适当地通过了测试工具或互操作性事件。 认证仅适用于特定的规范和实施类别(如“UAF认证器”)。 如果发布了新的主要规范版本(由FIDO认证工作组决定),而实施方案希望声称与该规范一致,则需要进行新的认证。
使用标识是否需要签订商标许可协议(TMLA)?
使用FIDO认证标识需要签署TMLA。 对于希望在其网站上使用认证标识的依赖方,有一个简化的流程,其中包括一份“无点击”许可协议。
会有FIDO认证标识吗?
是的。 供应商可在其网站、产品材料、包装等处使用一个可识别的FIDO认证标识。
什么是FIDO联盟元数据服务?
FIDO联盟元数据服务(MDS)是一种基于网络的工具,FIDO验证器供应商可在此发布元数据报表,供FIDO服务器下载。 这为部署FIDO服务器的机构提供了一个集中、可信的FIDO验证器信息源。
什么样的公司应该参与进来?
希望将基于FIDO的解决方案推向市场的供应商公司和/或希望了解部署FIDO认证很有效方法的组织服务提供商,将从参与FIDO联盟工作组的工作中获益匪浅。
企业如何从加入工作组中获益?
通过参加FIDO联盟的技术工作组,会员有能力塑造并尽早了解FIDO的技术成果,这有助于加快产品和服务的开发。 参加工作组还能让您的团队获得基于同行的反馈,以帮助自己的实施工作,同时还能创造机会,让贵公司的愿景在部署指南和建议中得到体现。
您能描述一下功能测试流程吗?
主要有四个测试步骤:
如何进行测试?
认证首先要使用FIDO联盟提供的测试工具对规范一致性进行自我评估,然后在FIDO联盟测试活动中与至少三个测试合作伙伴进行互操作性测试。 目前,认证计划还没有实验室方面的内容,但认证工作组目前正在审查制定和实施功能实验室认证计划的要求。 如需了解更多信息,请参阅入门网页。
根据FIDO联盟的每项规范进行测试是否需要支付单独的提交费用?
是的。 实施机构必须为其申请认证的每个实施类别申请认证(并支付认证费用)。 例如,如果一个实施方案同时认证了FIDO UAF服务器和FIDO2服务器,则该实施方案必须同时遵守这两个服务器的认证流程(并支付这两个服务器的认证费用)。 实施工作最终将获得两项认证。 不同规范测试的主要区别在于它们有不同的测试工具和不同的互操作性活动。
我们公司刚刚开发了一款新产品,但还没有通过认证。 在我们努力获得认证的同时,我们能说它已通过FIDO认证吗?
不可以。 只有通过FIDO认证计划并获得认证编号的产品才能声称自己是FIDO认证产品。
FIDO联盟颁发的证书的编号格式是什么?
FIDO联盟颁发的证书采用以下数字格式:
SSSXYZAYYYYMMDD####
SSS — 规范编号(UAF或U2F)
X — 规范编号
Y — 规范副编号
Z — 规范修订编号
A — 规范勘误编号
YYYY — 签发年份
MM — 签发月份
DD — 签发日期
#### — 当下签发的证书编号
市场上产品的审核流程是什么?
FIDO联盟的工作人员将每月对FIDO认证标识的使用情况和公布的认证声明进行审核。 对实际执行情况的审计将由市场反馈驱动。 如有任何疑问,可通过认证标识违规 表提交反馈意见。
必须对产品进行认证才能将其推向市场吗?
不是的。 但是,产品必须经过认证,才能声称通过了FIDO认证并使用FIDO认证标识。
FIDO联盟如何认证衍生产品?
衍生认证的设立是为了简化认证流程,以适应拥有大量认证的实施者,而这些认证基本上都是基于相同的实施。 在这种情况下,实施者可以认证一个实施方案,其余的实施方案可以注册为该基础认证的“衍生方案”。 衍生产品不需要参加互操作性活动来获得认证,但要求衍生产品实施运行并通过一致性测试。 与通过我们的测试工具和互操作性测试获得的原始认证相比,实施工作不能有任何实质性变化。 如果实施过程有变化,则需要进行FIDO影响分析,以确定实施过程是否需要Delta认证或重新认证。
测试活动多久举行一次?
互操作性活动至少每90天举行一次,但可根据实施者的需求更频繁地举行。
认证的相关费用是多少?
费用按认证的实施项目计算,必须在颁发证书前支付。
如果我不是FIDO联盟会员,我能否获得FIDO认证?
可以。 欢迎非会员对其实施进行认证。
什么是供应商ID,谁需要?
UAF验证器规范定义了一个AAID字段,一半是供应商ID,一半是设备ID,用于唯一标识每个验证器。 供应商ID是FIDO分配给实施UAF验证器的每家公司的唯一标识符。 AAID字段的另一半,即设备ID,由实施公司分配给验证器。 只有UAF验证器需要供应商ID。
产品认证期限有多长,协议变更时是否需要重新认证?
只要产品的FIDO实施代码库没有任何实质性变化,该产品就可以无限期地通过认证。 只有在极少数情况下才能终止认证,如认定某项实施不适当地通过了测试工具或互操作性事件。 认证仅适用于特定的规范和实施类别(如“UAF认证器”)。 如果发布了新的主要规范版本(由FIDO认证工作组决定),而实施方案希望声称与该规范一致,则需要进行新的认证。
使用标识是否需要签订商标许可协议(TMLA)?
使用FIDO认证标识需要签署TMLA。 对于希望在其网站上使用认证标识的依赖方,有一个简化的流程,其中包括一份“无点击”许可协议。
会有FIDO认证标识吗?
是的。 供应商可在其网站、产品材料、包装等处使用一个可识别的FIDO认证标识。
什么是FIDO联盟元数据服务?
FIDO联盟元数据服务(MDS)是一种基于网络的工具,FIDO验证器供应商可在此发布元数据报表,供FIDO服务器下载。 这为部署FIDO服务器的机构提供了一个集中、可信的FIDO验证器信息源。
什么样的公司应该参与进来?
希望将基于FIDO的解决方案推向市场的供应商公司和/或希望了解部署FIDO认证很有效方法的组织服务提供商,将从参与FIDO联盟工作组的工作中获益匪浅。
