本页详细介绍了 FIDO Alliance对保护用户隐私的承诺,这是 FIDO 身份验证自成立以来的基本原则。
导言
FIDO Alliance生态系统的成功取决于用户信任,其目标是保护用户隐私,同时为在线服务提供强大的身份验证。
FIDO 的隐私保护原则是 FIDO Alliance技术的核心部分,并加强了联盟的强身份验证方法。
隐私权
隐私对世界各地的许多人来说意味着许多不同的事情:甚至它的正式定义也因文化、语言和立法边界而异。在 FIDO Alliance 上下文中,我们使用术语“用户验证”来指代设备如何在本地与用户交互或识别用户,使用术语“身份验证”来指代如何使用 FIDO 加密协议通过网络向远程系统识别用户。
FIDO 上下文中的隐私本质上是具有挑战性的,因为强大的用户验证系统必须能够识别合法的帐户持有人,而这反过来又需要持续保留有关该用户的信息。 FIDO Alliance的隐私方法围绕着明确定义与特定用户相关的数据的收集和使用。我们将本文档中的这些数据称为个人数据。
此外,用户不得对这些数据的任何使用感到惊讶。这也意味着用户验证信息不应轻易与来自其他来源的数据相结合,因为这将允许在基于 FIDO 的用户验证过程范围之外进行持久识别。
FIDO 注册和用户验证的流程
用户希望使用 FIDO 技术执行两项主要任务:使用给定的在线服务进行初始注册,然后使用该服务进行后续身份验证。用户需要 FIDO Authenticator 才能正常工作。此类 Authenticator 提供所使用的用户验证机制。它可以是独立的硬件设备、集成到设备中的指纹传感器及其固件,也可以是许多其他选项之一。FIDO 客户端也是用户环境的一部分,用于处理 Authenticator 和 FIDO 服务器之间的通信。服务器是在线服务提供商基础设施的一部分。
此服务提供商在 FIDO 术语中也称为 Relying Party,因为它是需要依赖身份验证的实体。

图 1:注册
在注册过程结束时, Relying Party 拥有由 Authenticator 创建的公钥,并且 Authenticator 认识到此公钥只能由属于 Relying Party的域合法使用。
当需要使用此信息对服务的用户进行身份验证时,将涉及所有相同的部分。

图 2:身份验证
隐私和安全要求都有相同的目标:只有正确的用户才会进行身份验证,并且仅在用户需要时进行身份验证。
没有安全就没有隐私
FIDO 技术规范包括几项与隐私相关的要求,这些要求是我们标准中内置的安全机制的一部分。事实上,为了对用户进行强身份验证(这是 FIDO 技术的核心原则),系统必须有足够的信息来执行此操作。为此, FIDO Alliance 一直在努力在了解用户和确保仅收集执行 FIDO 相关操作所需的信息之间找到微妙的平衡。
注册使 Relying Party的网站能够对帐户持有人进行强身份验证,因此是一项非常有价值的操作。由于注册是与该帐户相关的所有后续 FIDO 操作的基础,因此必须特别认真对待。在注册过程中,还会验证 FIDO Authenticator 的有效性,以保证其完整性。
FIDO 技术规范规定,FIDO 设备不得在网站上显示全局标识符,这可以防止不必要和意外地重新识别 FIDO 用户。由于与另一个 Relying Party的关系,一个实体不得识别用户。此外,FIDO Authenticator 在特定 Relying Party中没有全局标识符。这些是 FIDO Alliance积极将隐私保护构建到产品中的整体技术方法和态度的代表性示例。
启用EnterpriseAttestation FIDO 身份验证器例外,它们在启用了EnterpriseAttestationEnterprise网络或企业的Relying Party中具有全局标识符,其中Enterprise是某种形式的组织,通常是业务实体。企业数据处理方(定义见 GDPR)的依赖方被视为Enterprise依赖Relying Party的一部分。启用了EnterpriseAttestation身份验证器仅供企业的员工、承包商和指定成员使用,而非其客户。
FIDO 规范中的其他技术保障措施包括,颁发给特定网站的密钥只能由该网站在 Web 浏览器中使用,从而扩大了不同网站之间的强边界。此要求使窃取公钥用于从其他来源进行网络钓鱼变得毫无用处,并且还阻止了多个串通站点使用 Authenticator 在用户浏览 Web 时对其进行强验证和关联。
FIDO 的一些与隐私相关的保护措施并不完全是技术性的;有些是基于策略的,有些则侧重于所提供的用户体验。例如,在 FIDO Authenticator 和 Web 站点之间创建关系时,通知是确保在用户知情的情况下发生这种情况的重要部分。获得用户的信任至关重要;FIDO 技术必须对其用途保持透明。
FIDO 隐私原则
FIDO 身份验证器、客户端和服务器的设计和实施必须遵循以下原则,才能被视为完全合规。正如我们努力保护用户帐户的完整性一样,我们还确保在用户不希望或不希望时不使用 FIDO 技术来识别用户。
#1 要求使用个人数据的任何操作都得到明确、知情的用户同意
这包括在注册、用户验证和交易确认期间收集和使用个人身份数据。不得在用户不想要、知道或期望的情况下识别用户。
#2 为用户提供任何 FIDO 操作的清晰上下文
这包括但不限于明确指定哪个用户身份用于 FIDO 相关操作以及服务器身份是什么。
#3 将个人数据收集限制为 FIDO 相关目的
仅收集用户与 Relying Party之间 FIDO 操作所必需的 FIDO 相关个人信息。
FIDO 相关个人信息是在注册期间(可能在用户验证期间)收集的数据,这些数据是执行特定 FIDO 相关任务所必需的。我们将其与 Relying Party 可能同时收集的其他信息区分开来,但这不是 FIDO 操作范围的一部分。
在注册时, Relying Party 必须披露从用户那里收集的信息。如果在用户验证或交易确认时收集了任何其他信息,则还必须向用户披露该收集信息;如果没有进一步的收集,则不需要显式的进一步收集披露。
#4 仅将个人数据用于 FIDO 操作
对 FIDO 操作期间收集的数据,唯一可接受的用途是执行身份识别,例如注册、用户验证或授权。
#5 防止在 FIDO 操作之外识别用户
除在 FIDO 操作期间或用户希望和用户期望的识别操作(例如系统登录)期间之外,不得使用 FIDO 相关数据来识别用户。
#6 生物识别数据绝不能离开用户的个人计算环境
必须保护生物特征数据、测量值和此类数据的个人身份衍生信息,防止从身份验证器中提取,并且绝不能传输到用户的个人计算环境之外。
#7 保护 FIDO 相关数据免遭未经授权的访问或披露
必须对与 FIDO 操作相关的数据进行适当保护。这将作为 FIDO 认证 工作组指南的一部分进行验证。
#8 允许用户轻松查看和管理他们的 FIDO 身份验证器
用户应该很容易列出与其帐户关联的 FIDO Authenticator 并使用此信息执行标准任务,例如,在丢失 Authenticator 时取消注册 Authenticator 。
结论
这些隐私原则反映了 FIDO Alliance对保护用户隐私的明确坚定承诺。 FIDO 规范中普遍存在的综合技术机制为使 FIDO 标准在安全的同时保护隐私提供了基础。