FIDO 的运作方式

FIDO 协议使用标准公共密钥密码学技术提供更强有力的身份验证。向在线服务注册期间,用户的客户端设备会创建新的密钥对。该设备保留私有密钥,并向在线服务注册公有密钥。客户端设备通过签名挑战向该服务提供私有密钥的拥有权,借此完成身份验证。用户在设备上本地解锁客户端的私有密钥之后,该密钥才可供使用。通过用户友好的安全操作解锁本地密钥,例如手指划过屏幕、输入 PIN、通过话筒语音操作、插入第二因子设备或按下某个按钮。

FIDO 协议经过完全重新设计,可有效保护用户的隐私。这些协议未提供不同在线服务可用于合作跟踪用户的信息。生物识别信息(如使用)绝不会留在用户的设备中。

FIDO 注册

graphic_Registration

注册:

  • 系统提示用户选择符合在线服务接受策略的可用 FIDO 身份验证器。
  • 用户使用指纹读取器、第二因子设备上的按钮、安全输入的 PIN 或其他方法解锁 FIDO 身份验证器。
  • 用户的设备创建本地设备、在线服务和用户账户独有的全新公有/私有密钥对。
  • 系统将公有密钥发送给在线服务,并将其与用户的账户关联。私有密钥和本地身份验证方法相关信息(例如生物识别测量或模板)绝不会留在本地设备中。

FIDO 登录

graphic_Login

登录:

  • 在线服务要求用户使用与服务接受策略相符的之前注册设备登录。
  • 用户使用与注册时相同的方法解锁 FIDO 身份验证器。
  • 设备使用用户的账户标识符选择正确的密钥并签名服务发出的挑战,该标识符由服务提供。
  • 客户端设备将经过签名的挑战发送回服务,由其使用存储的公共密钥进行验证,然后即可允许用户登录。