作者:David Turner,FIDO 联盟标准开发总监

今天,我们宣布对两个核心 FIDO 协议进行增强,即客户端到身份验证器协议 (CTAP) v2.1 和 WebAuthn 级别 2,它们共同构成了 FIDO2。 两者都是扩展FIDO专门针对企业用户的功能和支持更复杂的应用程序用例的重大进步。 鉴于全球大流行和远程工作的持续,对 FIDO 方法的需求和采用率不断增加,这些增强功能来得正是时候。

FIDO2 WebAuthn 协议是一组应用程序编程接口 (API),用于描述如何在浏览器会话中启用身份验证。 Level 2 是该标准的最新版本,由 W3C 组织维护,并于 4 月发布。 通过此标准,可以更轻松地编写使用 FIDO 身份验证的 Web 应用程序,现在五个主要端点操作系统(Windows、MacOS、Linux、Android、ChromeOS 和 iOS)都支持该身份验证。

我们今天宣布了六项重大改进:

企业证明

今天的公告增加了对设备和用户的企业管理的支持。 CTAP 和 WebAuthn 协议增加了一些功能,使企业可以更轻松地在注册过程中添加特定的用户身份数据,因此企业管理员可以更轻松地跟踪密钥分发和使用情况。 由于这些功能可能会泄露一些私人用户信息(他们无论如何都会泄露给雇主的信息),因此此功能无法直接提供给消费者的身份验证器。 相反,身份验证器必须由企业自己使用这些企业证明进行预编程(在凭据注册之前)。

跨域 iFrame 支持

此功能允许在浏览器的弹出窗口中完成基于 Web 的电子商务交易,这在早期的 FIDO 版本中是被禁止的,以保护潜在的中间人和浏览器攻击场景。 新标准为完成这些交易提供了一种非常安全、可靠和加密的方式,而不会泄露从多个域(如原始供应商、用户的银行账户、信用卡发卡机构等)提取的数据。 它还有助于在用户通过带宽受限的情况(例如通过蓝牙或较差的 Wifi 信号)进行连接的情况下保持身份验证工作流程的运行,而不会出现大量来回网络流量和延迟。

支持 Apple 证明

在过去的 18 个月里,FIDO 联盟很高兴 Apple 成为贡献者。 此功能增加了对 Apple 使用 WebAuthn 协议在其设备上执行证明的方法的支持。

更好的生物识别管理

CTAP v2.1 新增功能包括更好的生物识别注册和管理功能,以便用户可以注册多个指纹和其他生物标志物。 此外,企业可以设置最小 PIN 长度。 随着越来越多的移动设备包括面部和指纹识别,这使 FIDO 与最新的身份验证技术保持同步。

大型 blob 支持

作为运行集中式身份验证服务的替代方法,此功能包括一种存储其他身份验证方案(例如使用加密的 SSH 连接)可能需要的证书等内容的方法。

驻留凭据改进

现在称为可发现凭据,它使无密码工作流能够重新验证用户身份。 身份验证对话框会自动查找并应用现有凭据,并要求用户确认,从而使 FIDO 更易于使用。

始终要求用户验证

此功能允许用户使用独立于信赖方的某种形式的用户验证来保护其身份验证器上的凭据。 启用了该功能的平台身份验证器和其他身份验证器将始终执行用户验证。 某些认证计划(如 US FIPS 140-3)禁止身份验证器在未经身份验证的情况下执行签名操作。