FIDO身份验证使用标准公钥加密技术来提供防网络钓鱼身份验证。在注册在线服务时,用户的客户端设备会创建一个与网络服务域绑定的新加密密钥对。设备保留私钥,并向在线服务注册公钥。这些加密密钥对被称为通行密钥,对每个在线服务都是独一无二的。与密码不同的是,通行密钥可以抵御网络钓鱼,始终保持强大功能,而且在设计上没有共享的秘密。
如何使用FIDO进行身份验证
有了FIDO,用户的设备必须通过签署挑战来证明自己拥有私钥,这样才能完成登录。只有当用户通过快速简便地输入生物识别码、本地PIN码或轻触FIDO安全密钥,在其设备上验证本地登录后,才能实现登录。登录是通过用户设备和在线服务的挑战—响应完成的;服务不会看到或存储私人密钥。
FIDO从设计之初就旨在保护用户隐私和防止网络钓鱼。每个通行密钥都是唯一的,并与在线服务域绑定。这些协议没有提供可供不同在线服务使用的信息,以便在不同服务间协作和跟踪用户。生物识别信息,如果使用,永远不会离开用户的设备。
使用FIDO注册和登录
使用在线服务注册通行密钥
- 提示用户创建通行密钥
- 用户通过生物识别、本地PIN或触摸FIDO安全密钥等本地身份验证方法验证通行密钥的创建
- 用户设备为本地设备、在线服务和用户账户创建一个新的公钥/私钥对(通行密钥)
- 公钥被发送到在线服务,并与用户账户关联,任何有关本地身份验证方法的信息(如生物识别测量或模板)都不会离开本地设备
使用通行密钥进行后续登录
- 提示用户使用通行密钥登录
- 用户通过生物识别、本地PIN码或触摸其FIDO安全密钥等本地身份验证方法,使用通行密钥进行验证登录
- 设备使用服务提供的用户账户标识符选择正确的密钥,并签署服务的挑战
- 客户端设备将已签名的挑战发回服务,服务使用已存储的公钥验证挑战,并登录用户