作者:FIDO 工作人员
通行密钥有望实现更简单、更强大的身份验证。但首先,组织、政府和个人将不得不采用这项技术——其中一些人有疑问。
在 3 月 13 日举行的 Authenticate 虚拟峰会:揭秘密钥实施的 “上,来自 FIDO 联盟、Intercede、IDEMIA、Yubico、Dashlane 和 1Password 的演讲者以及包括 Amazon 和 Target 在内的实施者介绍了他们实施和使用密钥的经验。虚拟峰会涵盖了 FIDO 联盟对密钥的技术视角,以及密钥在企业、消费者身份验证和美国政府中的用例。一路上,与会者提出了很多问题,并得到了很多有见地的答案。
从根本上说,在整个虚拟峰会上引起共鸣的一个关键主题是,密钥是一种密码替代品——而且它不会很快出现。
“密码仍然是登录的主要方式,它们仍然很容易通过社会工程进行网络钓鱼,而且它们往往非常难以使用和维护,”FIDO 联盟标准开发高级总监 David Turner 说。“后果是真实的,对整个世界的影响是真实的。”
密钥 101
在会议期间,Turner 简要概述了什么是通行密钥及其工作原理。
密钥建立在现有的 FIDO 身份验证协议之上,简化了用户体验。
现在可以通过使用密钥提供程序在设备之间同步通行密钥,无需在每台设备上单独使用凭据。通行密钥还支持跨设备身份验证等新功能。特纳演示了在一台设备上扫描的二维码如何安全地连接到存储在附近另一台设备上的凭据。
除了同步的通行密钥外,还有设备绑定的通行密钥,它们依靠安全密钥等技术来提供所需的凭据。
密钥状态
密钥采用的当前和未来状态是
Andrew Shikiar,FIDO 联盟执行董事兼首席执行官。
现在有数百种服务,包括代表数十亿用户的主要平台供应商 Microsoft、Apple 和 Google,在 2024 年的这个时候支持密钥。
“如果你是一家服务提供商,并且希望部署密钥,你可以非常有信心地这样做,你的消费者将能够利用它们,”他说。
FIDO 联盟旨在在未来几年推动密钥支持,部分方法是分享最佳实践和成功案例,这是虚拟峰会的核心部分。
可用性被强调为广泛采用的关键因素。
“可用性至关重要。它必须是你所做的事情的前沿和中心,“希基亚尔说。
FIDO 联盟发布了用户体验指南和设计系统,以帮助公司以用户友好的方式实施密钥。未来的指南将解决其他用例。
Shikiar 强调,密钥并不是为了提高密码的安全性而新增的。他的期望是,通行密钥将被视为真正的密码替代品,而不仅仅是支持现有身份验证方法的尝试。他强调,根本问题是密码,目标应该是替换密码,而不仅仅是在密码之上添加额外的安全层。Shikiar 希望人们停止考虑多因素身份验证因素,而是考虑启用防网络钓鱼身份。
密钥位于目标
零售巨头 Target 已经在使用密钥,有助于提高安全性并优化其员工的身份验证。
Target 网络安全高级总监 Tom Sheffield 表示,该公司自 2018 年以来一直利用 FIDO 进行劳动力身份验证,并于 2021 年将其作为主要身份验证器。
Target 能够更轻松地跨其平台启用密钥支持的方法之一是通过单点登录 (SSO)。
“我们的 Web 应用程序套件中有一个非常强大的 SSO 环境,”Sheffield 说。“因此,对我们来说,这使得将 FIDO 集成到 SSO 平台中变得非常容易,因此 SSO 背后的每个应用程序都会自动从中受益。”
关于 Target 如何让其用户快速采用密钥,Sheffield 表示,该选项是在登录流程中传达给用户的,而不是试图在电子邮件中向用户解释他们应该做什么。
总体而言,Sheffield 强调,如果一个组织今天使用 OTP(一次性密码)进行多因素身份验证 (MFA),任何形式的 FIDO 都将提供显着更好的用户体验和安全性。
“在这个领域 25 年的职业生涯中,我参与过的安全计划并不多,可以同时为您提供安全性和用户体验,”他说。“因此,如果您使用 FIDO 以外的任何东西,您就有很好的机会来提升您的游戏水平并为用户提供出色的体验,这应该会让您成为英雄。”
在亚马逊使用通行密钥对 10 亿客户进行身份验证
当今支持密钥的最大面向消费者的网站之一是在线巨头亚马逊。
亚马逊产品管理高级经理 Yash Patodia 详细介绍了如何向全球数亿消费者推出通行密钥。Patodia 解释了亚马逊的动机,并指出密码对不良行为者来说相对容易破解。他指出,与其他方法相比,通行密钥可以帮助客户更容易进行身份验证,并提供更好的用户体验。
亚马逊使用针对 Web、iOS 和 Android 平台的不同 API 实施了密钥。亚马逊现在可跨设备使用,其目标是在明年提高客户群的知名度并提高通行密钥的采用率。在他看来,通行密钥非常适合大规模采用,亚马逊用户群的早期迹象非常令人鼓舞。
“如果你是一家面向消费者的公司,拥有庞大的客户群,一定要探索这个选项,”他说。
美国政府对 FIDO 和密钥的注意事项
美国政府对强身份验证的世界并不陌生,许多工作人员已经在使用 PIV(个人身份验证)智能卡凭证。
来自IDEMIA的Teresa Wu和来自Yubico的Joe Scalone都在FIDO联盟的政府部署工作组(GDWG)任职,他们概述了密钥如何补充PIV凭证并支持零信任安全模型。
随着政府机构努力实施防网络钓鱼多因素身份验证,通行密钥是一种可以提供比一次性密码或硬件令牌更无缝的用户体验的选项。
“我们不是来取代 PIV,我们是来补充和使用 FIDO 的,而 PIV 不在承保范围内,”吴说。
他们认为 FIDO 机会的一个领域是联邦承包商和员工,他们因工作职能而没有资格获得 PIV 卡。目前,这些人依靠密码进行系统访问。
密钥可移植性状况将得到改善
用户体验的一个关键方面是能够更改密钥提供程序并从一个提供程序移动到另一个提供程序,如果这是用户想要做的。
根据 Dashlane 的 Rew Islam 和 1Password 的 Nick Steele 的说法,使用现有的密码管理器和旧密码,移动凭据的过程并不是特别高效或安全。FIDO 联盟内的凭证提供商特别兴趣小组正在寻求通过一种新标准来解决这种情况,以便在不同的密码/密钥管理应用程序之间安全地移植密码。
该组织正在开发一种新的凭证交换协议,该协议将使用混合公钥加密来安全地传输凭证;这项工作还包括开发证书信息的标准化数据格式。
“通过采用标准凭证格式,它将允许不同组织中的两个不同提供商之间共享凭证的互作性,”斯蒂尔说。
凭证交换的概念验证演示目前定于 5 月在日本大阪举行的 FIDO 成员全体会议期间进行。Islam 指出,这一努力代表了 FIDO 将不同竞争供应商聚集在一起以实现共同目标的力量的真正胜利。
关于通行密钥的常见问题
虚拟峰会以“有问必答”(AMA) 会议结束,与会者在会上提出了有关密钥的最紧迫问题。
提出的大问题包括:
从安全性和可用性的角度来看,组织应如何考虑选择同步密钥或设备绑定密钥?
Turner 回答说,首先要真正明确的是,同步密钥可能是大多数用例的正确答案。也就是说,他指出,FIDO 认识到在某些领域,人们的风险状况要高得多,在这些情况下,设备绑定的密钥可以提供额外的信任级别。
密钥可以在交易签名中发挥作用吗?
泰雷兹的佩德罗·马丁内斯 (Pedro Martinez) 回应说,是的,密钥可用于签署交易。他解释说,FIDO 协议的美妙之处在于它基于挑战的签名。因此,可以调整质询以包含与需要数字签名的交易相关的数据。
何时将通行密钥成为默认身份验证模式?
Shikiar 表示,他不认为所有密码都会消失,但他对无密码的未来充满希望。
“复杂的风险引擎和异常检测器在接受密码时不会三思而后行,”他说。“但随着密钥变得越来越普遍并突然成为默认设置,使用密码本身就将是异常的。我认为,那时我们将处于一个美妙的未来,使用密码被正确地视为一种高风险和异常行为。
