FIDO联盟发布了三套规范,以实现更简单、更强大的用户身份验证:FIDO Universal Second Factor(FIDO U2F)、FIDO Universal Authentication Framework(FIDO UAF)和Client to Authenticator Protocols(CTAP)。CTAP是对 W3C的Web Authentication(WebAuthn)规范的补充;它们一起被称为FIDO2。
FIDO标准使用标准公钥加密技术,通过称为通行密钥的加密密钥对提供防网络钓鱼身份验证。FIDO从设计之初就旨在保护用户隐私和防止网络钓鱼。每个通行密钥都是唯一的,并与在线服务域绑定。协议不提供可被不同在线服务用于跨服务协作和跟踪用户的信息。如果使用,生物识别信息永远不会离开用户的设备。
请在规范下载页面阅读技术规范。
除了满足技术要求外,FIDO联盟还制定了进一步的安全要求,这些要求必须得到落实,以加强每个设备的安全保证。这些要求包含在认证身份验证器级别页面上的验证器认证计划中。
FIDO2
FIDO2由W3C的WebAuthn规范和FIDO联盟相应的客户端到身份验证器协议(CTAP)组成。FIDO2支持使用嵌入式(或绑定)验证器(如生物识别或PIN码)或外部(或漫游)验证器(如FIDO安全密钥、移动设备、可穿戴设备等)的无密码、第二因素和多因素用户体验。
FIDO2的规范包括:
W3C WebAuthn
WebAuthn定义了一个标准Web API,该API被内置到浏览器和平台中,以实现对FIDO身份验证的支持。
CTAP2
CTAP2允许使用外部验证器(FIDO安全密钥,移动设备)在支持FIDO的浏览器和操作系统上通过USB、NFC或BLE进行身份验证,以获得无密码、第二因素或多因素身份验证体验。
CTAP1
CTAP1是FIDO U2F的新名称,它允许使用现有的FIDO U2F设备(如FIDO安全密钥)在支持FIDO2的浏览器和操作系统上通过USB、NFC或BLE进行身份验证,以实现第二因素体验。
FIDO UAF
FIDO UAF支持无密码体验。使用FIDO UAF时,用户携带安装了FIDO UAF堆栈的设备。然后,他们可以选择一种本地验证机制,如刷手指、看摄像头、对着麦克风说话、输入PIN码等,将自己的设备注册到在线服务中。FIDO UAF协议允许服务选择向用户展示哪些机制。
注册后,用户只需在需要验证服务时重复本地验证操作即可。用户从该设备进行身份验证时,不再需要输入密码。FIDO UAF还允许结合多种身份验证机制(如指纹和PIN码)的体验。
FIDO U2F
FIDO U2F支持第二因素体验。FIDO U2F允许在线服务为用户登录添加强大的第二因素,从而增强现有密码基础设施的安全性。用户使用之前的用户名和密码登录。该服务还可以随时提示用户出示第二因素设备(如FIDO安全密钥)。强大的第二因素可使服务简化密码(如4位数的PIN码),同时不影响安全性。
在注册和身份验证的过程中,用户只需按下USB设备上的按钮或点击NFC或BLE就可以显示第二个因素。用户可以利用网页浏览器的内置支持,在所有支持该协议的在线服务中使用其FIDO U2F设备。
随着FIDO2的发布,U2F被重新命名为CTAP1。