美国总务管理局于 login.gov 年推出 FIDO2

安全

MFA GSA 检查的选项之一是 SMS 一次性密码 （SMS OTP）。

他们发现 SMS OTP 是用户流行的 MFA 选项。 短信一次性密码虽然方便，但会给用户带来本可避免的安全风险;这包括无意中下载到可以监控用户短信的手机上的恶意软件。 此外，GSA 在网络钓鱼方面遇到了很多问题，尤其是针对控制银行信息和个人身份信息（包括用户的出生日期和社会安全号码）的帐户。 login.gov，GSA 希望提供一种可以防止网络钓鱼的 SMS OTP 的安全替代方案，并开始评估 FIDO2 身份验证标准。

FIDO2 是一组强大的身份验证标准，使用户能够利用设备端生物识别和 FIDO 安全密钥等常见设备，通过防网络钓鱼加密安全性对在线服务进行身份验证。 FIDO2 规范是万维网联盟（W3C）的网络验证（WebAuthn）规范和 FIDO 联盟相应的客户端到验证器协议（CTAP）。

在审查了 FIDO 联盟的 FIDO2 标准后，GSA 发现 FIDO2 的网络钓鱼抵抗能力使其成为应对其安全挑战的最合适方法。

FIDO标准内部

FIDO 协议（包括 FIDO2 规范）使用标准公钥加密技术而不是共享密钥，以提供更强大的身份验证和保护，防止网络钓鱼和通道攻击。

这些协议也是从头开始设计的，以保护用户隐私。 这些协议不提供可供不同在线服务用于跨服务协作和跟踪用户的信息，并且生物识别技术在使用时永远不会离开用户的设备。

通过登录时的简单操作，例如滑动手指、输入 PIN 码、对着麦克风讲话、插入第二因素设备或按下按钮，这一切都与用户友好和安全的用户体验相平衡。

降低成本

除了安全问题外，GSA还发现SMS OTP的管理成本相当高。 如果没有替代方案，随着越来越多的用户加入 login.gov，这些费用将继续增加。

借助 FIDO2，GSA 可以利用“自带 FIDO 安全密钥”方法，使其更具成本效益。 联邦政府不出售或提供身份验证器，但允许使用以前提供的身份验证器。

合规

NIST 的数字身份指南 – 身份验证和生命周期管理（特别出版物 800-63B）是联邦机构必须遵守的指南，因为它涉及对其网络的用户进行身份验证。 2017 年的指南将 SMS OTP 重新归类为“受限”身份验证技术。 这意味着代理机构需要为用户提供至少一个不受限制的备用身份验证器。 他们还必须向用户提供有关受限身份验证器 （SMS OTP） 的安全风险和替代方案可用性的有意义的信息。 FIDO 标准提供了一种安全的替代方案，符合 NIST 关于高保证强身份验证的准则。

FIDO2 开发

在开发之前，GSA 利用 Google 开发人员资源在 developers.google.com 上使用 FIDO2 WebAuthn 启用强身份验证。 为了协助服务器端处理，GSA 利用了 GitHub 上的 WebAuthn-ruby gem。 这极大地受益并加快了包括后端处理在内的开发。 此外，GSA 还使用了 W3C 参考资料来进一步澄清遇到的任何问题。

GSA 的所有 login.gov 代码都是开源的，它位于 GitHub 的 repo 18F/ identity-idp 下。 由于它是一种基于标准的身份验证技术，因此实现对 FIDO2 的支持非常快。 一个由三名开发人员组成的小团队只用了两周时间就完成了开发并投入生产。

FIDO2 的部署和用户体验

GSA 于 2018 年 9 月推出了 FIDO2 身份验证。 login.gov 通过使用 FIDO 安全密钥和内置 FIDO 身份验证器（如 Windows Hello 生物识别）来支持 FIDO2。 对于用户来说，这些密钥在用户载入期间都称为“安全密钥”。 在 login.gov 设置 FIDO2 的过程如下：

1. 当用户创建 login.gov 帐户时，他们输入其电子邮件地址并创建密码。 Login.gov 将首先向新用户发送一封自动生成的电子邮件，以确认他们的电子邮件地址。
2. 然后，系统会指示他们从选项菜单中选择和设置 MFA，包括 SMS OTP、FIDO2 安全密钥和备用代码。
3. 要设置 FIDO2，用户将选择“安全密钥”选项。
4. 用户可以为其安全密钥创建昵称。
5. 系统会提示他们将硬件安全密钥插入计算机并触摸它，或者，如果他们的设备具有受支持的内置身份验证器，则系统会提示他们通过查看摄像头或触摸生物识别传感器来使用它（例如两个示例）。
6. 用户会看到一个“成功屏幕”，然后他们可以访问他们的 login.gov 帐户。

许多用户在登录时利用“记住设备”选项。 例如，如果用户使用的是笔记本电脑并选中“记住设备”，则他们将在 30 天内不再需要在该笔记本电脑上进行 MFA。

支持非 FIDO2 安全密钥

在测试过程中，开发团队发现多个硬件安全密钥失败。 他们发现，大多数失败是因为它们不符合 FIDO2 标准。 在考虑添加对非 FIDO2 安全密钥的支持后，决定不支持它们，因为与简单地实现 WebAuthn 相比，这需要相当多的时间和精力。 GSA 计划在以后重新审视对非 FIDO2 密钥的支持。 FIDO2 认证身份验证器列表可在 FIDO 联盟网站上找到。

FIDO 用户采用率：呈上升趋势

最初，用户每月注册约 2,000 个新的 FIDO2 密钥，约占新用户的 0.2%。 在分析身份验证统计数据时，GSA 发现更多用户更频繁地选择移动/短信 OTP 选项进行 MFA。 2019 年 5 月，GSA 开始要求新用户注册第二个 MFA 选项，以提高对 FIDO2 的认识和采用率。 此更改将新的 FIDO2 身份验证器数量增加到每月 17,000 个。 仅在 6 月份，这个数字就增加到 27,000 个，采用率增加到所有新用户的 3% 左右，比最初推出时显着增加。 GSA正在考虑对现有用户提出同样的要求，但正在考虑在不妨碍用户体验的情况下这样做。

截至 2019 年 6 月，login.gov 每月约有 100 万新用户，随着代理商继续增加额外服务，预计这一数字还会增长。 GSA 对使用内置身份验证器来提高采用率抱有很高的期望，因为它不需要用户获取单独的 FIDO 安全密钥。

未来改进以提高采用率

login.gov 面临的挑战之一是用户教育。 具体来说，告知用户他们可以选择注册 FIDO2，并教育他们了解 FIDO 是什么以及如何设置它。 在不混淆无法设置 FIDO 的用户集的情况下实现此操作可能是一个挑战，因为他们没有 FIDO2 安全密钥或没有内置身份验证器。

GSA 正在研究的另一个领域是入职流程以及所有 FIDO 身份验证器使用术语“安全密钥”。 截至 2019 年 9 月，用户研究正在进行中，围绕提示用户设置他们的设备名称，而不是使用安全密钥语言。 初步研究结果表明，为拥有物理安全密钥的用户保留安全密钥选项，然后为具有内置身份验证器的用户添加其他选项，即“使用您的 Android 手机”或“使用您的 Windows Hello 设备”等，这将有助于采用。 这将有助于让用户清楚地了解他们的选择，以便他们更有可能进行设置。

正在考虑的另一项增强功能是称为“MFA 检查”的功能。 这是为了解决用户更换智能手机并丢失备份代码时发生的现实问题。 Login.gov 将显示一个屏幕，通知用户可用的方法，或为用户提供替换方法的选项。

最终，GSA 认为这些简化用户通信并使用户身份验证选项更清晰的操作是提高用户采用率的关键，并帮助 GSA 和最终用户实现 FIDO 身份验证提供的全部安全性、可用性和降低成本的好处。 作为首批提供FIDO认证以登录电子政务服务的政府之一，GSA致力于成为其他政府效仿的典范。

在此处查看美国总务管理局 （U.S. General Services Administration） 的 FIDO2 推出 login.gov PDF。