FIDO 规范是互连规范社区的一部分。 FIDO 身份验证取决于万维网联合会 (W3C ) 和 Internet 工程任务组 (IETF) 的规范 和其他人来定义安全身份验证应该如何工作。 我们很高兴地宣布,FIDO联盟期待已久的规范之一已经向前迈出了非常重要的一步:IETF令牌绑定规范已发送给IETF编辑,这意味着它距离作为最终标准发布只有一步之遥。
令牌绑定已作为一项重要的安全措施包含在 FIDO 规范中。 令牌绑定以加密方式将令牌绑定到主机,确保服务器知道它正在与正确的浏览器通信。 这样做的一些用途是确保 cookie 不会被盗,会话不会被劫持,OAuth 持有者令牌不会被重新利用。
FIDO 规范最重要的安全方面之一是它们对来源的加密断言:描述请求身份验证的服务器的协议、服务器 DNS 和端口,例如“https://fidoalliance.org”。FIDO 身份验证器使用关联的私钥对源进行签名 – 这就是 FIDO 联盟完成其反网络钓鱼任务的方式。令牌绑定是源保护的一部分,因为它确保源不能被欺骗。例如,即使攻击者劫持了 DNS 服务器,将所有流量重定向到“fidoalliance.org”到他们自己的恶意服务器,并以“fidoalliance.org”的身份向客户端进行身份验证(假设他们也以某种方式获得了该域的有效 TLS 证书),令牌绑定协议也会检测到客户端和真正的“fidoalliance.org”之间的这种“中间人”。
尽管令牌绑定对 FIDO 规范很重要,但到目前为止,它一直是可选的——主要是因为该规范尚未完成,并且采用率仍在上升。 令牌绑定规范的完成是其采用的一个令人兴奋的机会。 看到 Edge 和 Chrome 支持令牌绑定是看到生态系统广泛采用这一新安全标准的重要一步。
我们期待看到其他浏览器供应商未来更多地采用令牌绑定。 与 FIDO 规范中的高级安全措施类似,令牌绑定已包含在 OpenID Connect 增强型身份验证配置文件 (OIDC EAP) 中,其中令牌绑定和 FIDO 在 OIDC 对强身份验证未来的愿景中并存。 令牌绑定还将在美国政府的身份和身份验证标准中发挥重要作用,包括 NIST SP 800-63-3,其中需要它来防止验证者模拟。 与所有标准一样,要看到采用和实施的道路还很长,但我们期待着有一天令牌绑定有足够的行业采用率,使其成为FIDO规范的强制性部分。
FIDO 技术说明重点介绍了 FIDO 规范中对从业者来说很重要的方面。 技术说明阐明了架构选择,解释了最佳实践,并为技术部署者提供了指导。 技术说明是正在进行的系列文章的一部分,该系列以 FIDO 联盟的技术和演变为特色。