FIDO 联盟发布了三套规范,以实现更简单、更强大的用户身份验证:FIDO Universal Second Factor (FIDO U2F)、FIDO Universal Authentication Framework (FIDO UAF) 和 Client to Authenticator Protocols (CTAP)。 CTAP 与 万维网联盟的网络身份验证(WebAuthn)规范 它们合在一起被称为 FIDO2。
FIDO 标准使用标准公钥加密技术,通过称为密钥的加密 密钥对提供防网络钓鱼身份验证。 FIDO 从设计之初就旨在保护用户隐私和防止网络钓鱼。 每个密钥都是唯一的,并与在线服务域绑定。 这些协议没有提供可供不同在线服务使用的信息,以便在不同服务间协作和跟踪用户。 如果使用,生物识别信息永远不会离开用户的设备。
除了满足技术要求外,FIDO 联盟还制定了进一步的安全要求,这些要求必须得到落实,以加强每个设备的安全保证。 这些要求包含在认证 身份验证器级别 页面上的身份验证器认证计划中。
FIDO2
FIDO2 由 W3C 网络身份验证规范和 FIDO 联盟相应的客户端到身份验证器协议 (CTAP) 组成。 FIDO2 支持使用嵌入式(或绑定)验证器(如生物识别或 PIN 码)或外部(或漫游)验证器(如 FIDO 安全密钥、移动设备、可穿戴设备等)的无密码、第二因素和多因素用户体验。
FIDO2 的规格是
万维网联盟 WebAuthn
WebAuthn 定义了一个标准 Web API,该 API 正被内置到浏览器和平台中,以实现对 FIDO 身份验证的支持。
CTAP2
CTAP2 允许在支持 FIDO2 的浏览器和操作系统上通过以下方式使用外部验证器(FIDO 安全密钥、移动设备)进行验证 USB、NFC 或 BLE 实现无密码、第二因素或多因素身份验证体验。
CTAP1
CTAP1 是 FIDO U2F 的新名称,它允许在支持 FIDO2 的浏览器和操作系统上通过以下方式使用现有的 FIDO U2F 设备(如 FIDO 安全密钥)进行身份验证 USB、NFC 或 BLE 实现第二因素体验。
FIDO UAF
FIDO UAF 支持无密码体验。 使用 FIDO UAF 时,用户需携带安装了 FIDO UAF 协议栈的设备。 然后,他们可以选择一种本地认证机制,如刷手指、看摄像头、对着麦克风说话、输入 PIN 码等,将自己的设备注册到在线服务中。 FIDO UAF 协议允许服务选择向用户展示哪些机制。
注册后,用户只需在需要验证服务时重复本地验证操作即可。 用户从该设备进行身份验证时,不再需要输入密码。 FIDO UAF 还允许结合多种身份验证机制(如指纹和 PIN 码)的体验。
FIDO U2F
FIDO U2F 支持第二因素体验。 FIDO U2F 允许在线服务为用户登录添加强大的第二要素,从而增强现有密码基础设施的安全性。 用户使用之前的用户名和密码登录。 该服务还可以随时提示用户出示第二要素设备(如 FIDO 安全密钥)。 强大的第二要素可使服务简化密码(如 4 位数的 PIN 码),同时不影响安全性。
在注册和身份验证过程中,用户只需按下 USB 设备上的按钮或通过 NFC 或 BLE 轻触,就能出示第二要素。 用户可以利用网页浏览器的内置支持,在所有支持该协议的在线服务中使用其 FIDO U2F 设备。
随着 FIDO2 的发布,U2F 被重新命名为 CTAP1。
