FIDO 的运作方式

FIDO 协议使用标准公共密钥密码学技术提供更强有力的身份验证。向在线服务注册期间，用户的客户端设备会创建新的密钥对。该设备保留私有密钥，并向在线服务注册公有密钥。客户端设备通过签名挑战向该服务提供私有密钥的拥有权，借此完成身份验证。用户在设备上本地解锁客户端的私有密钥之后，该密钥才可供使用。通过用户友好的安全操作解锁本地密钥，例如手指划过屏幕、输入 PIN、通过话筒语音操作、插入第二因子设备或按下某个按钮。

FIDO 协议经过完全重新设计，可有效保护用户的隐私。这些协议未提供不同在线服务可用于合作跟踪用户的信息。生物识别信息（如使用）绝不会留在用户的设备中。

FIDO 注册

注册：

• 系统提示用户选择符合在线服务接受策略的可用 FIDO 身份验证器。
• 用户使用指纹读取器、第二因子设备上的按钮、安全输入的 PIN 或其他方法解锁 FIDO 身份验证器。
• 用户的设备创建本地设备、在线服务和用户账户独有的全新公有/私有密钥对。
• 系统将公有密钥发送给在线服务，并将其与用户的账户关联。私有密钥和本地身份验证方法相关信息（例如生物识别测量或模板）绝不会留在本地设备中。

FIDO 登录

登录：

• 在线服务要求用户使用与服务接受策略相符的之前注册设备登录。
• 用户使用与注册时相同的方法解锁 FIDO 身份验证器。
• 设备使用用户的账户标识符选择正确的密钥并签名服务发出的挑战，该标识符由服务提供。
• 客户端设备将经过签名的挑战发送回服务，由其使用存储的公共密钥进行验证，然后即可允许用户登录。