用户身份验证规范概述

FIDO联盟发布了三套规范,以实现更简单、更强大的用户身份验证:FIDO Universal Second Factor(FIDO U2F)、FIDO Universal Authentication Framework(FIDO UAF)和Client to Authenticator Protocols(CTAP)。CTAP是对 W3C的Web Authentication(WebAuthn)规范的补充;它们一起被称为FIDO2

FIDO标准使用标准公钥加密技术,通过称为通行密钥的加密密钥对提供防网络钓鱼身份验证。FIDO从设计之初就旨在保护用户隐私和防止网络钓鱼。每个通行密钥都是唯一的,并与在线服务域绑定。协议不提供可被不同在线服务用于跨服务协作和跟踪用户的信息。如果使用,生物识别信息永远不会离开用户的设备。

请在规范下载页面阅读技术规范。

除了满足技术要求外,FIDO联盟还制定了进一步的安全要求,这些要求必须得到落实,以加强每个设备的安全保证。这些要求包含在认证身份验证器级别页面上的验证器认证计划中。

FIDO2

FIDO2由W3C的WebAuthn规范和FIDO联盟相应的客户端到身份验证器协议(CTAP)组成。FIDO2支持使用嵌入式(或绑定)验证器(如生物识别或PIN码)或外部(或漫游)验证器(如FIDO安全密钥、移动设备、可穿戴设备等)的无密码、第二因素和多因素用户体验。

FIDO2

FIDO2的规范包括:


W3C WebAuthn

WebAuthn定义了一个标准Web API,该API被内置到浏览器和平台中,以实现对FIDO身份验证的支持。

CTAP2

CTAP2允许使用外部验证器(FIDO安全密钥,移动设备)在支持FIDO的浏览器和操作系统上通过USB、NFC或BLE进行身份验证,以获得无密码、第二因素或多因素身份验证体验。

CTAP1

CTAP1是FIDO U2F的新名称,它允许使用现有的FIDO U2F设备(如FIDO安全密钥)在支持FIDO2的浏览器和操作系统上通过USB、NFC或BLE进行身份验证,以实现第二因素体验。

FIDO UAF

FIDO UAF支持无密码体验。使用FIDO UAF时,用户携带安装了FIDO UAF堆栈的设备。然后,他们可以选择一种本地验证机制,如刷手指、看摄像头、对着麦克风说话、输入PIN码等,将自己的设备注册到在线服务中。FIDO UAF协议允许服务选择向用户展示哪些机制。

FIDO UAF - 无密码体验

注册后,用户只需在需要验证服务时重复本地验证操作即可。用户从该设备进行身份验证时,不再需要输入密码。FIDO UAF还允许结合多种身份验证机制(如指纹和PIN码)的体验。

FIDO U2F

FIDO U2F支持第二因素体验。FIDO U2F允许在线服务为用户登录添加强大的第二因素,从而增强现有密码基础设施的安全性。用户使用之前的用户名和密码登录。该服务还可以随时提示用户出示第二因素设备(如FIDO安全密钥)。强大的第二因素可使服务简化密码(如4位数的PIN码),同时不影响安全性。

第二因素体验 - FIDO U2F

在注册和身份验证的过程中,用户只需按下USB设备上的按钮或点击NFC或BLE就可以显示第二个因素。用户可以利用网页浏览器的内置支持,在所有支持该协议的在线服务中使用其FIDO U2F设备。

随着FIDO2的发布,U2F被重新命名为CTAP1。