通行密钥 承诺

通行密钥 Pledge 是针对在线服务提供商和身份验证产品和服务供应商的自愿承诺。承诺不限制个人,但鼓励他们通过自己喜欢的渠道表达对通行密钥的支持。

参与此承诺意味着服务提供商和供应商承诺全年真诚地努力实现既定目标。在实现承诺目标方面取得可衡量进展的公司应在签署承诺后一年内公开记录其成就。我们仍然鼓励没有取得可衡量进展的公司在同一时间范围内分享他们的努力、挑战和方法,以便其他人可以学习。该承诺是自愿的,不具有法律约束力。

FIDO Alliance认可并赞赏已经为登录或其产品实施密钥支持的服务提供商和供应商。如果可能,已经支持通行密钥的公司应公开说明其实现方法和由此产生的影响。

认捐 通行密钥

做出承诺的公司承诺,将真诚地努力在全年内努力实现这些既定目标:

对于具有用于登录的通行密钥的有效实施的服务提供商
在签署承诺后的一年内,展示为显著增加用户在登录公司服务时对通行密钥的使用而采取的行动。

对于正在实施用于登录的通行密钥的服务提供商
在签署承诺后的一年内,展示为启用密钥登录公司服务而采取的可衡量行动。

对于拥有基于 FIDO 的产品和/或服务的供应商
在签署承诺后的一年内,展示通过采用公司的产品和/或服务来显著增加通行密钥使用量而采取的行动。

适用于开发基于 FIDO 的产品和/或服务的供应商
在签署承诺后的一年内,展示可衡量的行动,以 FIDO 认证其产品并推出支持密钥登录的产品或服务。

适用于行业协会和标准组织
在签署承诺后的一年内,展示提高密钥登录的可见性和优势的行动。

采取行动:帮助组织履行承诺的资源

FIDO Alliance为 通行密钥 Pledge 组织提供了采取行动的资源和最佳实践,包括:

  • 通过外部沟通渠道分享他们对 通行密钥 承诺的承诺
  • 利用 passkeycentral.org 指南作为规划、实施和扩展其密钥部署的指导
  • 实施 FIDO 设计指南,用于密钥部署的数据驱动型 UX 最佳实践
  • 让他们的产品 FIDO Certified,以证明他们的产品是合规的、可互作的和安全的
  • 代表他们或他们的客户发布案例研究,以分享实施旅程和业务成果。组织可以联系 info@fidoalliance.org 直接向 FIDO Alliance提交案例研究。
  • 参与 FIDO Alliance成员活动和工作组,以进一步推动密钥优化和采用
  • 计划和/或采取措施 删除密码作为登录选项

今天就做出承诺
提交此表格以签署承诺书。承诺书的签署者同意在与承诺书相关的营销材料中包含他们的公司名称(而不是徽标)。虽然我们收集了签名者的姓名和电子邮件,但它们不会公开。

通行密钥承诺倡议是面向在线服务提供商以及身份验证产品和服务供应商的自愿性承诺倡议。个人虽不在此承诺倡议的参与范围内,但我们鼓励个人通过其首选渠道发声支持通行密钥。

加入此承诺倡议表示服务提供商和供应商承诺将在一年内以最大诚意推进实现既定目标。对于在实现承诺目标过程中取得显著成果的公司,应在签署此承诺倡议一年内公开发文记录其取得的成就。对于未取得显著成果的公司,我们仍鼓励其在签署承诺倡议一年内分享其付诸的努力、面临的挑战和应对方式,以供他人借鉴。此承诺倡议是自愿签署的,不具有法律约束力。

FIDO Alliance 对已支持采用通行密钥登录或将通行密钥技术加入其产品的服务提供商和供应商表示认可并致谢。已支持通行密钥的公司应尽可能公开其实现方法和取得的成果。
签署通行密钥承诺倡议
签署此承诺倡议的公司承诺将在一年内以最大诚意推进实现以下既定目标:

对于现已实现通行密钥登录的服务提供商
在签署本承诺倡议一年内,采取具体行动显著提升用户登录公司服务时使用通行密钥的占比。

对于正在实现通行密钥登录的服务提供商
在签署本承诺倡议一年内,通过可量化的行动在公司服务中实现通行密钥登录。

对于提供基于 FIDO 的产品和/或服务的供应商
在签署本承诺倡议一年内,采取具体行动在公司产品和/或服务中采用通行密钥,以显著提升通行密钥的使用率。

对于正在开发基于 FIDO 的产品和/或服务的供应商
在签署本承诺倡议一年内,采取可量化的行动完成 FIDO 产品认证,并推出支持通行密钥登录的产品或服务。

对于行业协会和标准组织
在签署本承诺倡议一年内,采取具体行动提升通行密钥登录的可见性和优势。

立即签署通行密钥承诺倡议
承诺倡议签署方同意将公司名称(不包含徽标)列入与本承诺倡议相关的宣传材料中。我们收集签署方的名称与电子邮件地址,但不会将其对外公开。

为什么我的公司应该考虑加入 FIDO Alliance?

无论您的公司是希望将基于 FIDO 的解决方案推向市场的供应商,还是您的组织是寻求了解为客户和/或员工部署 FIDO 身份验证的最有效方法的服务提供商,作为成员加入 FIDO Alliance 都有很大的好处。您可以 在此处了解更多信息。

加入 FIDO Alliance的流程是什么?

请参阅 FIDO Alliance 成员 资格网页上的所需步骤。

FIDO 与 PKI 相比如何?

FIDO 对非对称公钥加密采用“轻量级”方法,这为服务提供商提供了一种将公钥加密的安全优势扩展到更广泛的应用程序、域和设备的方法,尤其是在传统 PKI 被证明困难或不可能的情况下。FIDO 不是 PKI 的替代品,而是 PKI 的补充,使更多的用户和应用程序能够使用非对称加密受到保护。这在替代方法是用户名和密码的情况下尤其重要。

FIDO 支持哪些设备和平台?

FIDO Alliance与 W3C 一起开发了 FIDO2 规范,使 FIDO 身份验证功能能够内置到更广泛的设备、平台和 Web 浏览器中。目前,Google Chrome、Mozilla Firefox、Microsoft Edge 和 Apple Safari (MacOS)、iOS Web 浏览器以及 Windows 10 和 Android 平台均支持 FIDO。

目前市场上部署 FIDO 的示例有哪些?

全球许多领先的组织已为其员工和用户部署了 FIDO 身份验证,从而降低了他们的安全风险并改善了用户体验。查看我们主页的“谁在使用 FIDO”下的示例。

为什么 FIDO 要发布多个规范?有什么区别?

FIDO Alliance发布了三组更简单、更强大的身份验证规范 – FIDO U2F、FIDO UAF 和 FIDO2 – 以提供最广泛的使用案例和部署场景:

FIDO 规范何时发布?

从一开始, FIDO Alliance 就表示打算通过制定规范来改变身份验证的性质,这些规范定义了一组开放、可扩展、可互作的机制,这些机制取代了对密码的依赖,从而安全地对在线服务的用户进行身份验证。在成立两年后,该联盟于 2014 年 12 月交付了最终的 1.0 规范,以实现这一愿景。这是该行业实现无处不在的更简单、更强大的身份验证道路上的一个重要里程碑,许多部署将 FIDO 身份验证带给了全球用户。为了进一步增加对跨设备和平台的 FIDO 身份验证的支持, FIDO Alliance 于 2019 年 3 月发布了第二组规范 FIDO2。有关更多信息,请参阅“为什么 FIDO Alliance 看到对 FIDO2 的需求?

FIDO 规范是什么?

FIDO Alliance发布了三组更简单、更强大的身份验证规范:FIDO 通用第二因素 (FIDO U2F)、FIDO 通用身份验证框架 (FIDO UAF) 和客户端到Authenticator协议 (CTAP)。CTAP 是对 W3C 的 Web 身份验证 (WebAuthn) 规范的补充;它们合称为 FIDO2。

跟踪 FIDO 进展的最佳方式是什么?

FIDO Alliance网站提供有关联盟、其规范FIDO Certified产品、资源知识库和最佳实践以及一般进展的全面信息。您还可以注册以接收未来活动的更新和邀请,其中许多活动向公众开放。您还可以在 Twitter 和/或 LinkedIn 上关注@FIDOalliance

FIDO Alliance是非营利组织吗?范围是什么?

FIDO(在线快速身份)联盟是一个 501(c)6 非营利组织,成立于 2012 年年中,旨在制定标准,以解决强身份验证设备之间缺乏互作性的问题,以及用户在创建和记住多个用户名和密码时面临的问题。要了解有关 FIDO Alliance 治理和结构的更多信息,请参阅 关于 FIDO 页面成员资格详细信息页面。

FIDO 规范是否允许任何人开始使用这些规范来开发和提供 FIDO 认证产品?

FIDO 的规范是公开的,任何人都可以阅读和分析。但只有 FIDO Alliance 成员受益于不针对其他成员的实施主张专利权的“承诺”(有关详细信息,请参阅 FIDO Alliance 成员协议 )。任何人都可以加入 FIDO Alliance;我们鼓励即使是成本非常低的非常小的公司也从入门级加入。各级成员不仅受益于相互非断言保护,还可以参与 FIDO Alliance 成员、活动和发展;助理的参与权益更有限 (https://fidoalliance.org/members/membership-benefits/)。邀请所有人加入 FIDO Alliance 并参与其中。

一个 FIDO 令牌/加密狗/设备是否比另一个更好?如何选择购买哪款?

FIDO 规范与设备无关,并支持各种身份验证技术,包括 FIDO 安全密钥和生物识别技术,例如指纹和虹膜扫描仪、语音和面部识别,以及 PIN 或图案保护的 microSD 卡。FIDO 规范还将支持现有的解决方案和通信标准,例如可信平台模块 (TPM)、USB 安全令牌、嵌入式安全元件 (eSE)、智能卡、低功耗蓝牙 (BLE) 和近场通信 (NFC)。由于 FIDO 规范是开放的,因此它们被设计为可扩展的,以适应未来的创新,并保护现有投资。

FIDO 是否向任何人提供实施权限?

FIDO Alliance 成员均已承诺遵守我们的会员协议中包含的承诺,即不针对任何其他成员实施 FIDO 1.0 最终规范(在我们的 会员协议中称为“拟议标准”)主张其专利。任何有兴趣部署 FIDO 兼容解决方案的人都可以在不加入联盟的情况下进行部署,并且强烈建议他们使用 FIDO Certified 产品来实现该部署。

如何确保我购买的产品符合 FIDO 标准?

FIDO Alliance认证工作组负责测试产品是否符合 FIDO 规范以及这些实施之间的互作性。您可以在此处了解有关 FIDO® 认证计划的更多信息。

为什么标准很重要?

开放式行业标准确保现有和未来的产品和服务兼容,并且任何人都可以评估该技术。用户可以依赖其 FIDO 设备在支持 FIDO 身份验证的任何地方工作。服务提供商和企业可以容纳各种设备和 服务 ,而无需进行新的投资或恢复到专有配置。

如果有人窃取了设备,他们就不能闯入帐户吗?

不。为了闯入帐户,犯罪分子不仅需要注册为 FIDO Authenticator 的用户设备,还需要能够击败 Authenticator 用于保护私钥(例如用户名和 PIN 或生物识别)的用户身份验证。这使得闯入启用了 FIDO 的账户变得极其困难。

FIDO 生物识别身份验证方法如何使用户更安全?任何人都可以从设备或在线服务中窃取我的生物识别信息吗?

在 FIDO 身份验证中使用时,用户生物识别数据永远不会离开设备,也不会存储在中央服务器上,否则可能会在泄露中被盗。FIDO 的设备端身份验证模型消除了远程攻击的风险。如果潜在攻击者可以访问用户的实际设备,则成功的欺骗将非常困难。首先,攻击者必须获得一个格式完美、完整的潜在打印,该打印也注册在目标用户的设备上。然后,攻击者必须获得对用户设备的访问权限,以便仅控制这一台设备。即使完成了单个欺骗,也无法解决当今典型的大规模攻击所造成的潜在危害,后者可能导致获取数百万和数亿用户的凭据。

FIDO 身份验证如何使用户在 Web 上更安全?

与当前基于密码的身份验证模型不同,FIDO 身份验证凭据永远不会共享或存储在集中式数据库中。FIDO 凭证仅由用户自己的设备知道和维护。服务提供商存储的只是与存储私钥的用户设备配对的公钥。为了提高安全性和隐私性,FIDO 身份验证中使用的生物识别永远不会离开设备。此安全模型消除了网络钓鱼、各种形式的密码盗窃和重放攻击的风险。潜在的攻击者甚至需要用户的物理设备才能尝试黑客攻击(有关更多信息,请参阅下面的“如果有人窃取了设备,他们就不能闯入帐户吗?密码生态系统为攻击者提供了巨大的投资回报,而风险相对有限;FIDO 生态系统对攻击者来说要获利要困难、昂贵和风险大得多。

如何防止嵌入式指纹传感器上的 Root Kit 和恶意软件攻击?

FIDO Alliance最近启动了 Authenticator 认证计划。该计划将 Authenticator 安全要求引入 FIDO 认证计划,专门用于身份验证器。根据 FIDO 认证计划认证的每个身份验证器都经过验证,以满足特定的安全保证级别,具体取决于供应商所寻求的安全级别。 级别越高,安全保证就越强。有关此计划的更多信息,请访问: https://fidoalliance.org/certification/authenticator-certification-levels/

如果我在多个网站上使用同一设备,一个网站能否知道我在另一个网站上使用了该设备?

不可以,FIDO 身份验证会阻止这种类型的信息交换。每个设备/网站配对都需要单独的注册和单独的加密密钥对。注册后,用户可以轻松地从同一设备向多个站点进行身份验证,但每个站点都不知道用户与其他站点的交互。FIDO 没有引入任何可用于关联在线用户活动的新跟踪机制。

FIDO 会获取我的任何个人信息吗?

不。 FIDO Alliance 仅指定强身份验证的标准,并测试实施是否符合这些标准;联盟不提供服务或配备设备或站点。设备制造商、在线服务提供商、企业和开发人员使用 FIDO 规范来构建产品、提供服务,并为网站和浏览器启用 FIDO 身份验证。根据 FIDO 规范,用户的凭证必须保留在用户的设备上,并且永远不会与提供商或服务共享。

公司如何参与 FIDO Alliance的新工作领域?

IDWG 和 IoT TWG 现已向行业参与者开放。FIDO 联盟工作组对 FIDO Alliance的所有董事会和赞助商级别成员开放。FIDO Alliance有关加入联盟的更多信息,请访问 https://fidoalliance.org/members/membership-benefits

IoT 技术工作组将做什么?

IoT TWG 将为 IoT 设备提供全面的身份验证框架,以符合联盟的基本使命 – 无密码身份验证。IoT TWG 将开发用例、目标架构和规范,包括:IoT 设备认证/身份验证配置文件,以实现服务提供商和 IoT 设备之间的互作性;应用程序和/或用户自动载入和绑定到 IoT 设备;以及通过智能路由器和 IoT 中心进行 IoT 设备身份验证和配置。

身份验证和约束工作组将做什么?

FIDO Alliance已经确定了更新的远程、基于所有权的技术,包括生物识别“自拍”匹配和政府颁发的身份证件身份验证,有可能大大提高新账户注册和账户恢复的身份保证质量。IDWG 将定义此类远程身份验证的标准以及其他标准,并制定认证计划和教育材料以支持采用该标准。

联盟将如何满足这些新标准和认证计划?

该联盟成立了两个新的工作组:身份验证和约束工作组 (IDWG) 和物联网技术工作组 (IoT TWG),以制定这些领域的指南和认证标准。 FIDO Alliance 将继续专注于开发和采用其用户身份验证标准和相关计划,并将其用作这项扩展工作的基础,现有成员和新的行业参与者都做出了贡献。

这些新领域与用户身份验证有何关系?

身份验证和 IoT 安全都与 FIDO Alliance 的核心关注点相邻,即用户身份验证。对于受 FIDO 身份验证保护的账户,当 FIDO 设备丢失或被盗时,账户恢复过程中的身份验证对于维护用户账户的完整性至关重要。对于 IoT 设备,典型的行业做法是使用默认密码凭证和手动载入来交付它们,这使它们容易受到攻击。这两个领域的安全漏洞可以通过行业协作和标准化而不是孤立的专有方法来最有效地解决。

FIDO Alliance试图通过这些新举措实现什么目标?

最终,该联盟正在努力通过解决在 Web 上留下安全漏洞的相邻技术领域来提高 FIDO 身份验证的功效和市场采用率。FIDO 身份验证标准提供的高保证与用于帐户恢复和 IoT 身份验证的身份验证中使用的较低保证方法之间存在差距。该联盟旨在加强身份验证保证,以支持更好的帐户恢复,并自动安全设备注册,以消除 IoT 中的密码使用。

FIDO Alliance的新工作领域有哪些?

该联盟宣布了新的工作领域,以制定身份验证和物联网 (IoT) 方面的标准和认证计划。

FIDO Alliance和 FIDO 标准的下一步是什么?

FIDO Alliance的工作才刚刚开始。规范和认证计划不断发展,我们的部署工作变得更加重要。此外,该联盟刚刚推出了 IoT 和身份验证方面的新工作领域,这些领域利用了 Alliance 来自世界各地的领先组织的广泛联盟,帮助标准化与用户身份验证相关的技术。有关这些工作区的更多信息,请阅读 https://fidoalliance.org/fido-alliance-announces-id-and-iot-initiatives/

FIDO Alliance如何确保与 FIDO2 的互作性?

FIDO Alliance为符合 FIDO2 规范的服务器、客户端和身份验证器提供互作性测试和认证。此外,联盟还为与所有 FIDO Authenticator类型(UAF、U2F、CTAP)互作的服务器引入了新的通用服务器认证。作为最佳实践,FIDO Alliance建议在线服务和企业部署通用服务器,以确保支持所有 FIDO Certified身份验证器。

FIDO2 是否意味着 FIDO U2F 已死?

一点也不。FIDO U2F 功能已合并到 FIDO2 的 CTAP2 协议中,FIDO U2F 安全密钥将继续与支持 U2F 身份验证的服务以及支持 FIDO2 身份验证的服务一起使用。

FIDO2 是否会取代 FIDO U2F 和 FIDO UAF 规范?

FIDO2 下的规范支持现有的无密码 FIDO UAF 和 FIDO U2F 使用案例和规范,并扩展了 FIDO 身份验证的可用性。已经拥有符合 FIDO 的外部设备(例如 FIDO U2F 安全密钥)的用户将能够继续将这些设备与支持 WebAuthn 的 Web 应用程序一起使用。现有的 FIDO UAF 设备仍然可以与预先存在的服务以及基于 FIDO UAF 协议的新服务产品一起使用。

FIDO2 浏览器和平台实施的状态如何?

当前的采用状态可 在此处查看。

FIDO2 规范的制定现状如何?

FIDO2 标准现已发布并可供实施。WebAuthn 于 2019 年 3 月达到 W3C 的最终推荐标准,是官方 Web 标准。CTAP 是最终的 FIDO Alliance 规范。

FIDO Alliance要向 W3C 提交规范?

FIDO Alliance 与 W3C 合作,为整个 Web 平台标准化 FIDO 身份验证,以便 FIDO 生态系统可以通过支持该标准的整个 Web 浏览器和 Web 应用程序服务器社区来发展。W3C 是 Web 社区制定标准的地方,因此在该论坛中工作更为实用。

FIDO2 和 W3C 的 WebAuthn 之间有什么关系?

一个好的经验法则是记住这个简单的方程式:

FIDO2 = W3C WebAuthn + CTAP

以下是 FIDO2 开发的完整故事:

在 FIDO UAF 和 FIDO U2F 规范发布后, FIDO Alliance 专注于让全球用户更容易获得 FIDO 身份验证。该联盟制定了三个技术规范,定义了一个基于 Web 的 API,使 FIDO 身份验证能够直接内置到浏览器和平台中。这些规范已于 2015 年 11 月提交给万维网的国际标准组织 W3C。 FIDO Alliance 成员公司在 W3C 的 Web 身份验证工作组内合作,最终确定了 API,即后来的 WebAuthn。WebAuthn 于 2019 年 3 月被正式认可为 W3C Web 标准。

在同一时期, FIDO Alliance 创建并最终确定了 WebAuthn 的补充规范:客户端到 Authenticator 协议 (CTAP)。CTAP 允许用户使用他们已经拥有的设备(例如手机、安全密钥或 Windows 10 电脑)对支持 WebAuthn 的浏览器和平台进行身份验证,从而使用户更容易访问 WebAuthn。

WebAuthn 和 CTAP 一起称为 FIDO2。 FIDO Alliance 管理和维护认证计划,以确保市场上所有 FIDO2 实施(客户端、服务器和身份验证设备)的互作性。

为什么 FIDO Alliance 看到了 FIDO2 的需求?

FIDO Alliance的目标一直是在 Web 上无处不在的强身份验证。这意味着在人们每天使用的每台设备中构建对 FIDO 身份验证的支持。该联盟在其最初的 FIDO U2F 和 FIDO UAF 规范方面取得了显著进展,尤其是在移动平台上。FIDO2 通过使其成为跨浏览器和 Web 平台的内置功能,扩展了 FIDO 身份验证的范围,这是朝着联盟总体目标迈出的重要一步。

是“FIDO2”还是“FIDO 2.0”?

FIDO2 是 FIDO 全套最新标准的正式名称。

FIDO2 包含哪些规格?

FIDO2 包括两个规范:

什么是 FIDO2?

FIDO2 是 FIDO Alliance最新的强身份验证标准集的总称。FIDO2 包括两个规范:W3C 的 Web 身份验证 (WebAuthn) 和 FIDO Alliance的客户端到 Authenticator 协议 (CTAP)。

我可以将同一 FIDO 设备用于多个网站吗?我可以在同一个网站上使用多个 FIDO 设备吗?

是的,您可以从一台 FIDO 设备使用多个网站。每个设备/网站配对都需要单独的注册和单独的加密密钥对。注册后,用户可以轻松地从同一设备向多个站点进行身份验证,但每个站点都不知道用户与其他站点的交互。

如果用户购买了新设备或想要使用多个 FIDO 设备,则用户只需在他想要使用它们的站点上注册每个设备。在站点上注册设备后,每当用户需要在该站点进行身份验证时,都会识别该设备。当用户使用尚未注册的新设备访问站点时,系统将提示用户注册新的 FIDO 设备,以便在该站点上使用新设备启用 FIDO 身份验证。

当我没有 Internet 连接时,FIDO 设备可以工作吗?

FIDO 模型的目的是为在线服务提供安全简单的身份验证体验。身份验证涉及使用设备通过网络连接到服务的用户。

FIDO Alliance颁发的证书的证书编号格式是什么?

FIDO Alliance证书编号格式为:AA-NNNNN-SSSSS,其中 AA 是计划标识符,NNNNN 是认证编号,SSSSS 是产品标识符。Program Identifier 对应于颁发证书的认证计划。

市场上产品的审核流程是怎样的?

FIDO Alliance工作人员将每月审核 FIDO Certified徽标的使用情况和已发布的认证声明。实际实施的审计将由市场反馈驱动。如果出现任何问题,可以通过认证标志违规表提交反馈。

我必须对商品进行认证才能进行营销吗?

不。但是,产品必须经过认证才能声称已获得 FIDO Certified 并使用 FIDO Certified 标志。

FIDO Alliance如何认证衍生产品?

创建Derivative certification是为了简化实施者的认证流程,这些实施者拥有大量认证,这些认证基本上都基于相同的实施。在这种情况下,实施者可以认证一个实施,其余实施可以注册为该基本认证的 “衍生” 实施。Derivatives 不需要参加互作性活动即可获得认证,但它们确实要求 Derivative 实现运行并通过一致性测试。与我们的测试工具和互作性测试获得的原始认证相比,实施不会发生任何实质性变化。如果实施有变化,则需要通过 FIDO 影响分析来确定实施是否需要 Delta 认证或重新认证。

测试事件多久发生一次?

互作性事件至少每 90 天发生一次,但根据实施者的需求,可能会更频繁地发生。

认证相关费用是多少?

费用按实施认证进行,必须在颁发证书之前支付。

有关每个计划的 FIDO 认证 费用的概述,请转到 认证 费用 页面。

如果我不是 FIDO Alliance成员,我可以获得 FIDO Certified吗?

是的。欢迎非会员对其实施进行认证。

什么是供应商 ID,谁需要供应商 ID?

UAF 身份验证器规范定义了一个 AAID 字段,该字段一半是供应商 ID 和一半设备 ID,用于唯一标识每个身份验证器。供应商 ID 是 FIDO 分配给实施 UAF 身份验证器的每家公司的唯一标识符。AAID 字段的另一半(设备 ID)由实施公司分配给身份验证器。只有 UAF Authenticator 需要供应商 ID。

商品的认证有效期是多久,当协议发生变化时是否需要重新认证?

只要产品的 FIDO 实现的代码库没有发生任何实质性变化,产品就会无限期地获得认证。只有在极少数情况下才能终止 认证 ,例如确定实现未正确通过测试工具或互作性事件。 认证 仅适用于特定的规范和实现类(即“UAF Authenticator”)。如果发布了规范的新主要版本(由 FIDO 认证 工作组确定),并且实施方案希望声明符合该规范,则需要新的认证。

徽标使用是否有商标许可协议 (TMLA) 要求?

使用 FIDO Certified 标志需要签署 TMLA。对于希望在其网站上使用认证徽标的依赖方,有一个简化的流程,其中包括 “无点击”许可协议。

会有 FIDO Certified 标志吗?

是的。供应商有一个可识别的 FIDO Certified 标志,可包含在其网站、产品材料、包装等中。

我该如何开始?

首先,确保您的实施通过 一致性测试 (需要注册)。验证实施 后,注册 Interoperability 活动,然后您就可以开始认证您的产品了。

什么是 FIDO Alliance 元数据服务?

FIDO Alliance元数据服务 (MDS) 是一个基于 Web 的工具,FIDO 身份验证器供应商可以在其中发布元数据语句供 FIDO 服务器下载。这为部署 FIDO 服务器的组织提供了有关 FIDO 身份验证器的集中且可信的信息源。

哪些类型的公司应该参与其中?

希望将基于 FIDO 的解决方案推向市场的供应商公司和/或寻求了解部署 FIDO 身份验证的最有效方法的组织服务提供商将从参与 FIDO Alliance 工作组中受益最大。

公司如何从加入工作组中受益?

通过参与 FIDO Alliance的技术工作组,成员能够塑造并尽早了解 FIDO 的技术产出,这有助于加速产品和服务的开发。参与工作组还将使您的团队能够获得基于同行的反馈,以帮助您自己实施,同时也创造了一个机会,将您公司的愿景反映在部署指南和建议中。

您能描述一下功能测试过程吗?

有四个主要测试步骤:

测试是如何进行的?

认证 从使用 FIDO Alliance 提供的测试工具对规范一致性进行自我评估开始,然后在 FIDO Alliance监考的测试活动中与至少三个测试合作伙伴进行互作性测试。目前,认证计划没有实验室方面,但 认证 工作组目前正在审查开发和实施功能实验室认证计划的要求。 请参阅 入门 网页以了解更多信息。

根据每个 FIDO Alliance 规范进行测试是否需要单独的提交费用?

是的。实现必须为他们寻求认证的每个实现类申请认证(并支付认证费用)。例如,如果实施同时对 FIDO UAF 服务器和 FIDO2 服务器进行认证,则该实施必须遵循两者的认证流程(并支付两者的认证费用)。该实施最终将获得两项认证。针对不同规范进行测试之间的主要区别在于它们具有不同的测试工具和不同的互作性事件。

我们公司刚刚构建了一个新产品,但我们还没有获得认证。在我们努力获得认证的同时,我们是否可以说它是 FIDO Certified ?

不。只有通过 FIDO 认证 计划并获得认证编号的商品才能声称已获得 FIDO Certified。

FIDO Alliance颁发的证书的证书编号格式是什么?

FIDO Alliance颁发的证书采用以下数字格式:

SSSXYZAYYYYMMDD####

SSS – 规格编号(UAF 或 U2F)

X – 规格编号

Y – 规范次版本号

Z – 规范修订号

A – 规格勘误号

YYYY – 颁发年份

MM – 签发月份

DD – 发行日

#### – 今天颁发的证书编号

市场上产品的审核流程是怎样的?

FIDO Alliance工作人员将每月审核 FIDO Certified徽标的使用情况和已发布的认证声明。实际实施的审计将由市场反馈驱动。如果出现任何问题,可以通过认证标志违规表提交反馈。

我必须对商品进行认证才能进行营销吗?

不。但是,产品必须经过认证才能声称已获得 FIDO Certified 并使用 FIDO Certified 标志。

FIDO Alliance如何认证衍生产品?

创建Derivative certification是为了简化实施者的认证流程,这些实施者拥有大量认证,这些认证基本上都基于相同的实施。在这种情况下,实施者可以认证一个实施,其余实施可以注册为该基本认证的 “衍生” 实施。Derivatives 不需要参加互作性活动即可获得认证,但它们确实要求 Derivative 实现运行并通过一致性测试。与我们的测试工具和互作性测试获得的原始认证相比,实施不会发生任何实质性变化。如果实施有变化,则需要通过 FIDO 影响分析来确定实施是否需要 Delta 认证或重新认证。

测试事件多久发生一次?

互作性事件至少每 90 天发生一次,但根据实施者的需求,可能会更频繁地发生。

认证相关费用是多少?

费用按实施认证进行,必须在颁发证书之前支付。

如果我不是 FIDO Alliance成员,我可以获得 FIDO Certified吗?

是的。欢迎非会员对其实施进行认证。

什么是供应商 ID,谁需要供应商 ID?

UAF 身份验证器规范定义了一个 AAID 字段,该字段一半是供应商 ID 和一半设备 ID,用于唯一标识每个身份验证器。供应商 ID 是 FIDO 分配给实施 UAF 身份验证器的每家公司的唯一标识符。AAID 字段的另一半(设备 ID)由实施公司分配给身份验证器。只有 UAF Authenticator 需要供应商 ID。

商品的认证有效期是多久,当协议发生变化时是否需要重新认证?

只要产品的 FIDO 实现的代码库没有发生任何实质性变化,产品就会无限期地获得认证。只有在极少数情况下才能终止 认证 ,例如确定实现未正确通过测试工具或互作性事件。 认证 仅适用于特定的规范和实现类(即“UAF Authenticator”)。如果发布了规范的新主要版本(由 FIDO 认证 工作组确定),并且实施方案希望声明符合该规范,则需要新的认证。

徽标使用是否有商标许可协议 (TMLA) 要求?

使用 FIDO Certified 标志需要签署 TMLA。对于希望在其网站上使用认证徽标的依赖方,有一个简化的流程,其中包括 “无点击”许可协议。

会有 FIDO Certified 标志吗?

是的。供应商有一个可识别的 FIDO Certified 标志,可包含在其网站、产品材料、包装等中。

我该如何开始?

首先,确保您的实施通过 一致性测试 (需要注册)。验证实施 后,注册 Interoperability 活动,然后您就可以开始认证您的产品了。

什么是 FIDO Alliance 元数据服务?

FIDO Alliance元数据服务 (MDS) 是一个基于 Web 的工具,FIDO 身份验证器供应商可以在其中发布元数据语句供 FIDO 服务器下载。这为部署 FIDO 服务器的组织提供了有关 FIDO 身份验证器的集中且可信的信息源。

哪些类型的公司应该参与其中?

希望将基于 FIDO 的解决方案推向市场的供应商公司和/或寻求了解部署 FIDO 身份验证的最有效方法的组织服务提供商将从参与 FIDO Alliance 工作组中受益最大。

パスキー宣言とは、オンラインサービスプロバイダーおよび認証に関する製品・サービスプロバイダー・ベンダーを対象とする自主的な宣言です。個人は本宣言の対象ではありませんが、お好みのチャネルを通じてパスキーに対するサポートを表明することが推奨されています。

本宣言に参加することで、サービスプロバイダーとベンダーは掲げられた目標に向かって1年間、誠心誠意取り組むことを約束します。約束した目標に対して目に見える具体的な進捗を達成した企業は、宣言に署名してから1年以内にその成果を公表する必要があります。具体的な進捗が得られなかった企業も、同期間内に実施した取り組みや課題、アプローチを共有することが奨励されています。これにより、他の企業が学ぶ機会を得ることができます。本宣言はあくまでも自主的なものであり、法的拘束力を有するものではありません。

FIDOアライアンスは、サインイン機能または自社製品に対して既にパスキーを導入しているサービスプロバイダーとベンダーを評価しており、感謝の意を表したいと思います。既にパスキーに対応している企業は、可能であれば、その実装手段や影響の結果について公開していただけますと幸いです。

パスキー宣言に参加する

本宣言に参加する企業は、以下に掲げる目標に向けて1年間、誠心誠意取り組むことを約束するものとします。

対象:既にサインインにパスキーを実装しているサービスプロバイダー

本宣言に署名してから1年以内に、ユーザーが自社サービスにサインインする際のパスキー利用率を具体的に向上させるために実施した行動を示す。

対象:サインインにパスキーの実装を試みているサービスプロバイダー

本宣言に署名してから1年以内に、自社サービスのサインインにパスキーを導入するために実施した測定可能な行動を示す。

対象:FIDOベースの製品やサービスを提供するプロバイダー

本宣言に署名してから1年以内に、自社の製品やサービスでのパスキーの採用を通じてパスキー利用率を具体的に拡大させるために実施した行動を示す。

対象:FIDOベースの製品やサービスを開発するベンダー

本宣言に署名してから1年以内に、自社製品をFIDO認証(パスキー認証)に対応し、パスキーでのサインインに対応した備えた製品またはサービスを開始するために実施した測定可能な行動を示す。

対象:業界団体および標準化団体

本宣言に署名してから1年以内に、パスキーによるサインインの認知度と利点を向上させるために実施した行動を示す。

今すぐパスキー誓約に署名する

本宣言の署名者は、本取組に関連するマーケティング資料に企業名(ロゴは含まない)を掲載することに同意するものとします。

当団体では署名者の氏名およびメールアドレスを収集しますが、これらが公開されることはありません。

패스키 서약은 온라인 서비스 제공업체와 인증 관련 솔루션/서비스 공급업체를 위한 자발적인 서약입니다.개인은 서약 대상에는 포함되지 않지만, 선호하는 채널을 통해 패스키에 대한 지지를 표명하는 것이 권장됩니다.

이 서약에 참여한다는 것은, 서비스 제공업체와 공급업체가 1년 동안 명시된 목표를 향해 성실하게 노력할 것을 약속한다는 의미입니다.서약 목표에 대해 측정 가능한 진전을 이룬 기업은 서약일로부터 1년 이내에 그 성과를 공개적으로 문서화해야 합니다.측정 가능한 진전을 이루지 못한 기업도 동일한 기간 내에 자사의 노력, 직면한 과제, 접근 방식을 공유하여 다른 기업들이 배울 수 있도록 하는 것이 권장됩니다.이 서약은 자발적인 참여를 기반으로 하며, 법적 구속력은 없습니다.

FIDO 얼라이언스는 이미 패스키 로그인을 지원하거나 자사 제품에 도입한 서비스 제공업체 및 솔루션 제공 업체의 노력을 높이 평가합니다.이미 패스키를 지원하고 있는 기업은, 가능한 경우, 구현 방식과 그로 인한 효과를 공개적으로 명시해 주시기 바랍니다.
패스키 서약 참여
서약에 참여한 기업은, 1년 동안 다음의 명시된 목표를 향해 선의의 노력을 기울일 것을 약속합니다.

패스키 기반 로그인 기능을 이미 구현한 서비스 제공업체의 경우
서약일로부터 1년 이내에 회사 서비스에 로그인할 때 사용자의 패스키 사용률을 측정 가능한 방식으로 증가시키기 위해 취한 조치들을 공유해야 합니다.

패스키 기반 로그인 기능을 구현을 준비중인 서비스 제공업체의 경우
서약일로부터 1년 이내에, 자사 서비스에 패스키 로그인을 활성화하기 위해 취한 측정 가능한 조치를 공유해야 합니다.

FIDO 기반 제품 및/또는 서비스를 보유한 솔루션 공급업체의 경우
서약일로부터 1년 이내에, 자사의 솔루션 및/또는 서비스를 통한 패스키 사용 확대를 위해 취한 조치를 입증해야 합니다.

FIDO 기반 제품 및/또는 서비스를 개발 중인 솔루션 공급업체의 경우
서약일로부터 1년 이내에, 제품의 FIDO 시험인증을 획득하고, 패스키 로그인을 지원하는 제품 또는 서비스를 출시하기 위해 취한 측정 가능한 조치를 공유해야 합니다.

업계 협회 및 표준화 기구의 경우
서약일로부터 1년 이내에, 패스키 로그인의 인지도와 혜택을 높이기 위해 취한 조치를 공유해야 합니다.

지금 패스키 서약에 참여하세요
서약에 서명한 기업은, 회사명(로고는 미포함)이 해당 서약 관련 마케팅 자료에 포함되는 것에 동의하게 됩니다.서명자의 이름과 이메일 주소는 수집되지만 공개되지 않습니다.

填写表格

为什么我的公司应该考虑加入 FIDO Alliance?

无论您的公司是希望将基于 FIDO 的解决方案推向市场的供应商,还是您的组织是寻求了解为客户和/或员工部署 FIDO 身份验证的最有效方法的服务提供商,作为成员加入 FIDO Alliance 都有很大的好处。您可以 在此处了解更多信息。

加入 FIDO Alliance的流程是什么?

请参阅 FIDO Alliance 成员 资格网页上的所需步骤。

FIDO 与 PKI 相比如何?

FIDO 对非对称公钥加密采用“轻量级”方法,这为服务提供商提供了一种将公钥加密的安全优势扩展到更广泛的应用程序、域和设备的方法,尤其是在传统 PKI 被证明困难或不可能的情况下。FIDO 不是 PKI 的替代品,而是 PKI 的补充,使更多的用户和应用程序能够使用非对称加密受到保护。这在替代方法是用户名和密码的情况下尤其重要。

FIDO 支持哪些设备和平台?

FIDO Alliance与 W3C 一起开发了 FIDO2 规范,使 FIDO 身份验证功能能够内置到更广泛的设备、平台和 Web 浏览器中。目前,Google Chrome、Mozilla Firefox、Microsoft Edge 和 Apple Safari (MacOS)、iOS Web 浏览器以及 Windows 10 和 Android 平台均支持 FIDO。

目前市场上部署 FIDO 的示例有哪些?

全球许多领先的组织已为其员工和用户部署了 FIDO 身份验证,从而降低了他们的安全风险并改善了用户体验。查看我们主页的“谁在使用 FIDO”下的示例。

为什么 FIDO 要发布多个规范?有什么区别?

FIDO Alliance发布了三组更简单、更强大的身份验证规范 – FIDO U2F、FIDO UAF 和 FIDO2 – 以提供最广泛的使用案例和部署场景:

FIDO 规范何时发布?

从一开始, FIDO Alliance 就表示打算通过制定规范来改变身份验证的性质,这些规范定义了一组开放、可扩展、可互作的机制,这些机制取代了对密码的依赖,从而安全地对在线服务的用户进行身份验证。在成立两年后,该联盟于 2014 年 12 月交付了最终的 1.0 规范,以实现这一愿景。这是该行业实现无处不在的更简单、更强大的身份验证道路上的一个重要里程碑,许多部署将 FIDO 身份验证带给了全球用户。为了进一步增加对跨设备和平台的 FIDO 身份验证的支持, FIDO Alliance 于 2019 年 3 月发布了第二组规范 FIDO2。有关更多信息,请参阅“为什么 FIDO Alliance 看到对 FIDO2 的需求?

FIDO 规范是什么?

FIDO Alliance发布了三组更简单、更强大的身份验证规范:FIDO 通用第二因素 (FIDO U2F)、FIDO 通用身份验证框架 (FIDO UAF) 和客户端到Authenticator协议 (CTAP)。CTAP 是对 W3C 的 Web 身份验证 (WebAuthn) 规范的补充;它们合称为 FIDO2。

跟踪 FIDO 进展的最佳方式是什么?

FIDO Alliance网站提供有关联盟、其规范FIDO Certified产品、资源知识库和最佳实践以及一般进展的全面信息。您还可以注册以接收未来活动的更新和邀请,其中许多活动向公众开放。您还可以在 Twitter 和/或 LinkedIn 上关注@FIDOalliance

FIDO Alliance是非营利组织吗?范围是什么?

FIDO(在线快速身份)联盟是一个 501(c)6 非营利组织,成立于 2012 年年中,旨在制定标准,以解决强身份验证设备之间缺乏互作性的问题,以及用户在创建和记住多个用户名和密码时面临的问题。要了解有关 FIDO Alliance 治理和结构的更多信息,请参阅 关于 FIDO 页面成员资格详细信息页面。

FIDO 规范是否允许任何人开始使用这些规范来开发和提供 FIDO 认证产品?

FIDO 的规范是公开的,任何人都可以阅读和分析。但只有 FIDO Alliance 成员受益于不针对其他成员的实施主张专利权的“承诺”(有关详细信息,请参阅 FIDO Alliance 成员协议 )。任何人都可以加入 FIDO Alliance;我们鼓励即使是成本非常低的非常小的公司也从入门级加入。各级成员不仅受益于相互非断言保护,还可以参与 FIDO Alliance 成员、活动和发展;助理的参与权益更有限 (https://fidoalliance.org/members/membership-benefits/)。邀请所有人加入 FIDO Alliance 并参与其中。

一个 FIDO 令牌/加密狗/设备是否比另一个更好?如何选择购买哪款?

FIDO 规范与设备无关,并支持各种身份验证技术,包括 FIDO 安全密钥和生物识别技术,例如指纹和虹膜扫描仪、语音和面部识别,以及 PIN 或图案保护的 microSD 卡。FIDO 规范还将支持现有的解决方案和通信标准,例如可信平台模块 (TPM)、USB 安全令牌、嵌入式安全元件 (eSE)、智能卡、低功耗蓝牙 (BLE) 和近场通信 (NFC)。由于 FIDO 规范是开放的,因此它们被设计为可扩展的,以适应未来的创新,并保护现有投资。

FIDO 是否向任何人提供实施权限?

FIDO Alliance 成员均已承诺遵守我们的会员协议中包含的承诺,即不针对任何其他成员实施 FIDO 1.0 最终规范(在我们的 会员协议中称为“拟议标准”)主张其专利。任何有兴趣部署 FIDO 兼容解决方案的人都可以在不加入联盟的情况下进行部署,并且强烈建议他们使用 FIDO Certified 产品来实现该部署。

如何确保我购买的产品符合 FIDO 标准?

FIDO Alliance认证工作组负责测试产品是否符合 FIDO 规范以及这些实施之间的互作性。您可以在此处了解有关 FIDO® 认证计划的更多信息。

为什么标准很重要?

开放式行业标准确保现有和未来的产品和服务兼容,并且任何人都可以评估该技术。用户可以依赖其 FIDO 设备在支持 FIDO 身份验证的任何地方工作。服务提供商和企业可以容纳各种设备和 服务 ,而无需进行新的投资或恢复到专有配置。

如果有人窃取了设备,他们就不能闯入帐户吗?

不。为了闯入帐户,犯罪分子不仅需要注册为 FIDO Authenticator 的用户设备,还需要能够击败 Authenticator 用于保护私钥(例如用户名和 PIN 或生物识别)的用户身份验证。这使得闯入启用了 FIDO 的账户变得极其困难。

FIDO 生物识别身份验证方法如何使用户更安全?任何人都可以从设备或在线服务中窃取我的生物识别信息吗?

在 FIDO 身份验证中使用时,用户生物识别数据永远不会离开设备,也不会存储在中央服务器上,否则可能会在泄露中被盗。FIDO 的设备端身份验证模型消除了远程攻击的风险。如果潜在攻击者可以访问用户的实际设备,则成功的欺骗将非常困难。首先,攻击者必须获得一个格式完美、完整的潜在打印,该打印也注册在目标用户的设备上。然后,攻击者必须获得对用户设备的访问权限,以便仅控制这一台设备。即使完成了单个欺骗,也无法解决当今典型的大规模攻击所造成的潜在危害,后者可能导致获取数百万和数亿用户的凭据。

FIDO 身份验证如何使用户在 Web 上更安全?

与当前基于密码的身份验证模型不同,FIDO 身份验证凭据永远不会共享或存储在集中式数据库中。FIDO 凭证仅由用户自己的设备知道和维护。服务提供商存储的只是与存储私钥的用户设备配对的公钥。为了提高安全性和隐私性,FIDO 身份验证中使用的生物识别永远不会离开设备。此安全模型消除了网络钓鱼、各种形式的密码盗窃和重放攻击的风险。潜在的攻击者甚至需要用户的物理设备才能尝试黑客攻击(有关更多信息,请参阅下面的“如果有人窃取了设备,他们就不能闯入帐户吗?密码生态系统为攻击者提供了巨大的投资回报,而风险相对有限;FIDO 生态系统对攻击者来说要获利要困难、昂贵和风险大得多。

如何防止嵌入式指纹传感器上的 Root Kit 和恶意软件攻击?

FIDO Alliance最近启动了 Authenticator 认证计划。该计划将 Authenticator 安全要求引入 FIDO 认证计划,专门用于身份验证器。根据 FIDO 认证计划认证的每个身份验证器都经过验证,以满足特定的安全保证级别,具体取决于供应商所寻求的安全级别。 级别越高,安全保证就越强。有关此计划的更多信息,请访问: https://fidoalliance.org/certification/authenticator-certification-levels/

如果我在多个网站上使用同一设备,一个网站能否知道我在另一个网站上使用了该设备?

不可以,FIDO 身份验证会阻止这种类型的信息交换。每个设备/网站配对都需要单独的注册和单独的加密密钥对。注册后,用户可以轻松地从同一设备向多个站点进行身份验证,但每个站点都不知道用户与其他站点的交互。FIDO 没有引入任何可用于关联在线用户活动的新跟踪机制。

FIDO 会获取我的任何个人信息吗?

不。 FIDO Alliance 仅指定强身份验证的标准,并测试实施是否符合这些标准;联盟不提供服务或配备设备或站点。设备制造商、在线服务提供商、企业和开发人员使用 FIDO 规范来构建产品、提供服务,并为网站和浏览器启用 FIDO 身份验证。根据 FIDO 规范,用户的凭证必须保留在用户的设备上,并且永远不会与提供商或服务共享。

公司如何参与 FIDO Alliance的新工作领域?

IDWG 和 IoT TWG 现已向行业参与者开放。FIDO 联盟工作组对 FIDO Alliance的所有董事会和赞助商级别成员开放。FIDO Alliance有关加入联盟的更多信息,请访问 https://fidoalliance.org/members/membership-benefits

IoT 技术工作组将做什么?

IoT TWG 将为 IoT 设备提供全面的身份验证框架,以符合联盟的基本使命 – 无密码身份验证。IoT TWG 将开发用例、目标架构和规范,包括:IoT 设备认证/身份验证配置文件,以实现服务提供商和 IoT 设备之间的互作性;应用程序和/或用户自动载入和绑定到 IoT 设备;以及通过智能路由器和 IoT 中心进行 IoT 设备身份验证和配置。

身份验证和约束工作组将做什么?

FIDO Alliance已经确定了更新的远程、基于所有权的技术,包括生物识别“自拍”匹配和政府颁发的身份证件身份验证,有可能大大提高新账户注册和账户恢复的身份保证质量。IDWG 将定义此类远程身份验证的标准以及其他标准,并制定认证计划和教育材料以支持采用该标准。

联盟将如何满足这些新标准和认证计划?

该联盟成立了两个新的工作组:身份验证和约束工作组 (IDWG) 和物联网技术工作组 (IoT TWG),以制定这些领域的指南和认证标准。 FIDO Alliance 将继续专注于开发和采用其用户身份验证标准和相关计划,并将其用作这项扩展工作的基础,现有成员和新的行业参与者都做出了贡献。

这些新领域与用户身份验证有何关系?

身份验证和 IoT 安全都与 FIDO Alliance 的核心关注点相邻,即用户身份验证。对于受 FIDO 身份验证保护的账户,当 FIDO 设备丢失或被盗时,账户恢复过程中的身份验证对于维护用户账户的完整性至关重要。对于 IoT 设备,典型的行业做法是使用默认密码凭证和手动载入来交付它们,这使它们容易受到攻击。这两个领域的安全漏洞可以通过行业协作和标准化而不是孤立的专有方法来最有效地解决。

FIDO Alliance试图通过这些新举措实现什么目标?

最终,该联盟正在努力通过解决在 Web 上留下安全漏洞的相邻技术领域来提高 FIDO 身份验证的功效和市场采用率。FIDO 身份验证标准提供的高保证与用于帐户恢复和 IoT 身份验证的身份验证中使用的较低保证方法之间存在差距。该联盟旨在加强身份验证保证,以支持更好的帐户恢复,并自动安全设备注册,以消除 IoT 中的密码使用。

FIDO Alliance的新工作领域有哪些?

该联盟宣布了新的工作领域,以制定身份验证和物联网 (IoT) 方面的标准和认证计划。

FIDO Alliance和 FIDO 标准的下一步是什么?

FIDO Alliance的工作才刚刚开始。规范和认证计划不断发展,我们的部署工作变得更加重要。此外,该联盟刚刚推出了 IoT 和身份验证方面的新工作领域,这些领域利用了 Alliance 来自世界各地的领先组织的广泛联盟,帮助标准化与用户身份验证相关的技术。有关这些工作区的更多信息,请阅读 https://fidoalliance.org/fido-alliance-announces-id-and-iot-initiatives/

FIDO Alliance如何确保与 FIDO2 的互作性?

FIDO Alliance为符合 FIDO2 规范的服务器、客户端和身份验证器提供互作性测试和认证。此外,联盟还为与所有 FIDO Authenticator类型(UAF、U2F、CTAP)互作的服务器引入了新的通用服务器认证。作为最佳实践,FIDO Alliance建议在线服务和企业部署通用服务器,以确保支持所有 FIDO Certified身份验证器。

FIDO2 是否意味着 FIDO U2F 已死?

一点也不。FIDO U2F 功能已合并到 FIDO2 的 CTAP2 协议中,FIDO U2F 安全密钥将继续与支持 U2F 身份验证的服务以及支持 FIDO2 身份验证的服务一起使用。

FIDO2 是否会取代 FIDO U2F 和 FIDO UAF 规范?

FIDO2 下的规范支持现有的无密码 FIDO UAF 和 FIDO U2F 使用案例和规范,并扩展了 FIDO 身份验证的可用性。已经拥有符合 FIDO 的外部设备(例如 FIDO U2F 安全密钥)的用户将能够继续将这些设备与支持 WebAuthn 的 Web 应用程序一起使用。现有的 FIDO UAF 设备仍然可以与预先存在的服务以及基于 FIDO UAF 协议的新服务产品一起使用。

FIDO2 浏览器和平台实施的状态如何?

当前的采用状态可 在此处查看。

FIDO2 规范的制定现状如何?

FIDO2 标准现已发布并可供实施。WebAuthn 于 2019 年 3 月达到 W3C 的最终推荐标准,是官方 Web 标准。CTAP 是最终的 FIDO Alliance 规范。

FIDO Alliance要向 W3C 提交规范?

FIDO Alliance 与 W3C 合作,为整个 Web 平台标准化 FIDO 身份验证,以便 FIDO 生态系统可以通过支持该标准的整个 Web 浏览器和 Web 应用程序服务器社区来发展。W3C 是 Web 社区制定标准的地方,因此在该论坛中工作更为实用。

FIDO2 和 W3C 的 WebAuthn 之间有什么关系?

一个好的经验法则是记住这个简单的方程式:

FIDO2 = W3C WebAuthn + CTAP

以下是 FIDO2 开发的完整故事:

在 FIDO UAF 和 FIDO U2F 规范发布后, FIDO Alliance 专注于让全球用户更容易获得 FIDO 身份验证。该联盟制定了三个技术规范,定义了一个基于 Web 的 API,使 FIDO 身份验证能够直接内置到浏览器和平台中。这些规范已于 2015 年 11 月提交给万维网的国际标准组织 W3C。 FIDO Alliance 成员公司在 W3C 的 Web 身份验证工作组内合作,最终确定了 API,即后来的 WebAuthn。WebAuthn 于 2019 年 3 月被正式认可为 W3C Web 标准。

在同一时期, FIDO Alliance 创建并最终确定了 WebAuthn 的补充规范:客户端到 Authenticator 协议 (CTAP)。CTAP 允许用户使用他们已经拥有的设备(例如手机、安全密钥或 Windows 10 电脑)对支持 WebAuthn 的浏览器和平台进行身份验证,从而使用户更容易访问 WebAuthn。

WebAuthn 和 CTAP 一起称为 FIDO2。 FIDO Alliance 管理和维护认证计划,以确保市场上所有 FIDO2 实施(客户端、服务器和身份验证设备)的互作性。

为什么 FIDO Alliance 看到了 FIDO2 的需求?

FIDO Alliance的目标一直是在 Web 上无处不在的强身份验证。这意味着在人们每天使用的每台设备中构建对 FIDO 身份验证的支持。该联盟在其最初的 FIDO U2F 和 FIDO UAF 规范方面取得了显著进展,尤其是在移动平台上。FIDO2 通过使其成为跨浏览器和 Web 平台的内置功能,扩展了 FIDO 身份验证的范围,这是朝着联盟总体目标迈出的重要一步。

是“FIDO2”还是“FIDO 2.0”?

FIDO2 是 FIDO 全套最新标准的正式名称。

FIDO2 包含哪些规格?

FIDO2 包括两个规范:

什么是 FIDO2?

FIDO2 是 FIDO Alliance最新的强身份验证标准集的总称。FIDO2 包括两个规范:W3C 的 Web 身份验证 (WebAuthn) 和 FIDO Alliance的客户端到 Authenticator 协议 (CTAP)。

我可以将同一 FIDO 设备用于多个网站吗?我可以在同一个网站上使用多个 FIDO 设备吗?

是的,您可以从一台 FIDO 设备使用多个网站。每个设备/网站配对都需要单独的注册和单独的加密密钥对。注册后,用户可以轻松地从同一设备向多个站点进行身份验证,但每个站点都不知道用户与其他站点的交互。

如果用户购买了新设备或想要使用多个 FIDO 设备,则用户只需在他想要使用它们的站点上注册每个设备。在站点上注册设备后,每当用户需要在该站点进行身份验证时,都会识别该设备。当用户使用尚未注册的新设备访问站点时,系统将提示用户注册新的 FIDO 设备,以便在该站点上使用新设备启用 FIDO 身份验证。

当我没有 Internet 连接时,FIDO 设备可以工作吗?

FIDO 模型的目的是为在线服务提供安全简单的身份验证体验。身份验证涉及使用设备通过网络连接到服务的用户。

FIDO Alliance颁发的证书的证书编号格式是什么?

FIDO Alliance证书编号格式为:AA-NNNNN-SSSSS,其中 AA 是计划标识符,NNNNN 是认证编号,SSSSS 是产品标识符。Program Identifier 对应于颁发证书的认证计划。

市场上产品的审核流程是怎样的?

FIDO Alliance工作人员将每月审核 FIDO Certified徽标的使用情况和已发布的认证声明。实际实施的审计将由市场反馈驱动。如果出现任何问题,可以通过认证标志违规表提交反馈。

我必须对商品进行认证才能进行营销吗?

不。但是,产品必须经过认证才能声称已获得 FIDO Certified 并使用 FIDO Certified 标志。

FIDO Alliance如何认证衍生产品?

创建Derivative certification是为了简化实施者的认证流程,这些实施者拥有大量认证,这些认证基本上都基于相同的实施。在这种情况下,实施者可以认证一个实施,其余实施可以注册为该基本认证的 “衍生” 实施。Derivatives 不需要参加互作性活动即可获得认证,但它们确实要求 Derivative 实现运行并通过一致性测试。与我们的测试工具和互作性测试获得的原始认证相比,实施不会发生任何实质性变化。如果实施有变化,则需要通过 FIDO 影响分析来确定实施是否需要 Delta 认证或重新认证。

测试事件多久发生一次?

互作性事件至少每 90 天发生一次,但根据实施者的需求,可能会更频繁地发生。

认证相关费用是多少?

费用按实施认证进行,必须在颁发证书之前支付。

有关每个计划的 FIDO 认证 费用的概述,请转到 认证 费用 页面。

如果我不是 FIDO Alliance成员,我可以获得 FIDO Certified吗?

是的。欢迎非会员对其实施进行认证。

什么是供应商 ID,谁需要供应商 ID?

UAF 身份验证器规范定义了一个 AAID 字段,该字段一半是供应商 ID 和一半设备 ID,用于唯一标识每个身份验证器。供应商 ID 是 FIDO 分配给实施 UAF 身份验证器的每家公司的唯一标识符。AAID 字段的另一半(设备 ID)由实施公司分配给身份验证器。只有 UAF Authenticator 需要供应商 ID。

商品的认证有效期是多久,当协议发生变化时是否需要重新认证?

只要产品的 FIDO 实现的代码库没有发生任何实质性变化,产品就会无限期地获得认证。只有在极少数情况下才能终止 认证 ,例如确定实现未正确通过测试工具或互作性事件。 认证 仅适用于特定的规范和实现类(即“UAF Authenticator”)。如果发布了规范的新主要版本(由 FIDO 认证 工作组确定),并且实施方案希望声明符合该规范,则需要新的认证。

徽标使用是否有商标许可协议 (TMLA) 要求?

使用 FIDO Certified 标志需要签署 TMLA。对于希望在其网站上使用认证徽标的依赖方,有一个简化的流程,其中包括 “无点击”许可协议。

会有 FIDO Certified 标志吗?

是的。供应商有一个可识别的 FIDO Certified 标志,可包含在其网站、产品材料、包装等中。

我该如何开始?

首先,确保您的实施通过 一致性测试 (需要注册)。验证实施 后,注册 Interoperability 活动,然后您就可以开始认证您的产品了。

什么是 FIDO Alliance 元数据服务?

FIDO Alliance元数据服务 (MDS) 是一个基于 Web 的工具,FIDO 身份验证器供应商可以在其中发布元数据语句供 FIDO 服务器下载。这为部署 FIDO 服务器的组织提供了有关 FIDO 身份验证器的集中且可信的信息源。

哪些类型的公司应该参与其中?

希望将基于 FIDO 的解决方案推向市场的供应商公司和/或寻求了解部署 FIDO 身份验证的最有效方法的组织服务提供商将从参与 FIDO Alliance 工作组中受益最大。

公司如何从加入工作组中受益?

通过参与 FIDO Alliance的技术工作组,成员能够塑造并尽早了解 FIDO 的技术产出,这有助于加速产品和服务的开发。参与工作组还将使您的团队能够获得基于同行的反馈,以帮助您自己实施,同时也创造了一个机会,将您公司的愿景反映在部署指南和建议中。

您能描述一下功能测试过程吗?

有四个主要测试步骤:

测试是如何进行的?

认证 从使用 FIDO Alliance 提供的测试工具对规范一致性进行自我评估开始,然后在 FIDO Alliance监考的测试活动中与至少三个测试合作伙伴进行互作性测试。目前,认证计划没有实验室方面,但 认证 工作组目前正在审查开发和实施功能实验室认证计划的要求。 请参阅 入门 网页以了解更多信息。

根据每个 FIDO Alliance 规范进行测试是否需要单独的提交费用?

是的。实现必须为他们寻求认证的每个实现类申请认证(并支付认证费用)。例如,如果实施同时对 FIDO UAF 服务器和 FIDO2 服务器进行认证,则该实施必须遵循两者的认证流程(并支付两者的认证费用)。该实施最终将获得两项认证。针对不同规范进行测试之间的主要区别在于它们具有不同的测试工具和不同的互作性事件。

我们公司刚刚构建了一个新产品,但我们还没有获得认证。在我们努力获得认证的同时,我们是否可以说它是 FIDO Certified ?

不。只有通过 FIDO 认证 计划并获得认证编号的商品才能声称已获得 FIDO Certified。

FIDO Alliance颁发的证书的证书编号格式是什么?

FIDO Alliance颁发的证书采用以下数字格式:

SSSXYZAYYYYMMDD####

SSS – 规格编号(UAF 或 U2F)

X – 规格编号

Y – 规范次版本号

Z – 规范修订号

A – 规格勘误号

YYYY – 颁发年份

MM – 签发月份

DD – 发行日

#### – 今天颁发的证书编号

市场上产品的审核流程是怎样的?

FIDO Alliance工作人员将每月审核 FIDO Certified徽标的使用情况和已发布的认证声明。实际实施的审计将由市场反馈驱动。如果出现任何问题,可以通过认证标志违规表提交反馈。

我必须对商品进行认证才能进行营销吗?

不。但是,产品必须经过认证才能声称已获得 FIDO Certified 并使用 FIDO Certified 标志。

FIDO Alliance如何认证衍生产品?

创建Derivative certification是为了简化实施者的认证流程,这些实施者拥有大量认证,这些认证基本上都基于相同的实施。在这种情况下,实施者可以认证一个实施,其余实施可以注册为该基本认证的 “衍生” 实施。Derivatives 不需要参加互作性活动即可获得认证,但它们确实要求 Derivative 实现运行并通过一致性测试。与我们的测试工具和互作性测试获得的原始认证相比,实施不会发生任何实质性变化。如果实施有变化,则需要通过 FIDO 影响分析来确定实施是否需要 Delta 认证或重新认证。

测试事件多久发生一次?

互作性事件至少每 90 天发生一次,但根据实施者的需求,可能会更频繁地发生。

认证相关费用是多少?

费用按实施认证进行,必须在颁发证书之前支付。

如果我不是 FIDO Alliance成员,我可以获得 FIDO Certified吗?

是的。欢迎非会员对其实施进行认证。

什么是供应商 ID,谁需要供应商 ID?

UAF 身份验证器规范定义了一个 AAID 字段,该字段一半是供应商 ID 和一半设备 ID,用于唯一标识每个身份验证器。供应商 ID 是 FIDO 分配给实施 UAF 身份验证器的每家公司的唯一标识符。AAID 字段的另一半(设备 ID)由实施公司分配给身份验证器。只有 UAF Authenticator 需要供应商 ID。

商品的认证有效期是多久,当协议发生变化时是否需要重新认证?

只要产品的 FIDO 实现的代码库没有发生任何实质性变化,产品就会无限期地获得认证。只有在极少数情况下才能终止 认证 ,例如确定实现未正确通过测试工具或互作性事件。 认证 仅适用于特定的规范和实现类(即“UAF Authenticator”)。如果发布了规范的新主要版本(由 FIDO 认证 工作组确定),并且实施方案希望声明符合该规范,则需要新的认证。

徽标使用是否有商标许可协议 (TMLA) 要求?

使用 FIDO Certified 标志需要签署 TMLA。对于希望在其网站上使用认证徽标的依赖方,有一个简化的流程,其中包括 “无点击”许可协议。

会有 FIDO Certified 标志吗?

是的。供应商有一个可识别的 FIDO Certified 标志,可包含在其网站、产品材料、包装等中。

我该如何开始?

首先,确保您的实施通过 一致性测试 (需要注册)。验证实施 后,注册 Interoperability 活动,然后您就可以开始认证您的产品了。

什么是 FIDO Alliance 元数据服务?

FIDO Alliance元数据服务 (MDS) 是一个基于 Web 的工具,FIDO 身份验证器供应商可以在其中发布元数据语句供 FIDO 服务器下载。这为部署 FIDO 服务器的组织提供了有关 FIDO 身份验证器的集中且可信的信息源。

哪些类型的公司应该参与其中?

希望将基于 FIDO 的解决方案推向市场的供应商公司和/或寻求了解部署 FIDO 身份验证的最有效方法的组织服务提供商将从参与 FIDO Alliance 工作组中受益最大。

查看谁签署了承诺书

  • 1Kosmos
  • 1密码
  • A4 Technology Pty Ltd
  • 阿班卡
  • Aflac
  • 艾伦·泰特
  • Allthenticate
  • Amazon
  • 阿斯彭艾尔
  • Baylor Scott and White
  • Buypass
  • Capital One
  • Caravel Autism Health
  • CardLab Innovation ApS
  • CGM Software GmbH
  • 凤凰城
  • coc00n 网络有限公司
  • 币库
  • Corbado
  • CPXI Indonesia
  • CyberHoot
  • Daon
  • 达什兰
  • Dapple Security
  • Datasec Solutions
  • Descope
  • DXC Technology
  • Easy Dynamics Corporation
  • Egis Technology Inc.
  • Encore
  • Fayetteville State University
  • 飞天科技 美国
  • Finartz 公司
  • Footprint
  • G+D Netcetera
  • Giesecke+Devrient
  • HID Global
  • 海德兹
  • Hippo
  • 霍顿
  • Houston Methodist Hospital
  • HYPR 公司
  • IBM
  • IDEMIA 公共安全
  • Identita Inc.
  • IEBC
  • iNET SYSTEMS INC.
  • International Systems Research
  • IPCube Co., Ltd.
  • iProov
  • Johnson University
  • 尤斯佩
  • KSI 键盘
  • Lcjss.com
  • Liberty University
  • LY 公司
  • MachSol
  • Managepoint
  • 麦卡利
  • Michelin SPA
  • Microsoft
  • Molina Healthcare
  • mSIGNIA
  • 下一个身份
  • NextTech 通信
  • 诺克
  • NTT DOCOMO 公司
  • NTT TechnoCross Corporation
  • 努拉
  • 奥克塔
  • OneSpan
  • PC Systems Ltd
  • Pos Digicert 私人有限公司
  • Rachis Tech Services Private Limited
  • 乐天集团
  • Reliable Identities, Inc.
  • RSA
  • Rublon
  • Salesforce
  • 三星电子
  • Secfense
  • Secretarium
  • Simple, Inc
  • Smartcontactless
  • Southeastern Commercial Properties LLC
  • SPLAN, Inc.
  • 海星公司
  • STMicroelectronics International N.V.
  • Swissbit
  • 技术
  • Telesign
  • 泰雷兹
  • 牙皮
  • Touch Enterprise Ltd.
  • 传输安全性
  • 特纳和汤森
  • 美国陆军工程兵团
  • UKRI
  • 联合医疗保健 – Optum
  • VE3
  • Versasec 公司
  • 维多利亚道路
  • Washington State University
  • WebComm Technology Co., Ltd.
  • 旋风
  • Wilmington Home Improvements
  • Women in Identity
  • Yubico
  • ZeroBiometrics
  • Zoho 公司