白皮书：针对中等保障用例的 FIDO 身份验证

29 8 月, 2024

编辑

杰罗姆·贝夸特，Axiad
格雷格·布朗，Axiad
来自 Amazon Web Services 的 Matt Estes

抽象

本白皮书的目的是为组织提供指导，帮助他们分析设备绑定通行密钥和同步通行密钥的功能和特性，以确定如何在中等保证环境中使用这两种凭证类型。在本文中，术语“中等保证”是指法律、法规和安全要求足够灵活，允许使用这两种类型的凭据的环境或组织，使用同步的密钥来替换密码，并使用多重身份验证（MFA）替换标准用户帐户，使用设备绑定密钥替换需要最高级别保护和保证的用户帐户。本文旨在比较设备绑定通行密钥和同步通行密钥支持的功能和要求，从而提供如何在具有中等保证需求的组织中同时使用这两种类型的凭据的愿景。

观众

本白皮书是系列白皮书中的一篇，面向正在考虑在整个组织中部署 FIDO 身份验证的任何人，包括 IT 管理员、企业安全架构师和高管。

读者可以在这里找到该系列论文的介绍。介绍性白皮书提供了该系列所有论文的附加描述和链接，涵盖了从低保证到高保证的一系列用例。我们预计大多数企业的用例将跨越其中多篇论文，并鼓励读者查看与其部署要求相关的白皮书。

白皮书假设读者对 FIDO2 凭证及其在
认证过程;有关 FIDO2 的介绍性信息，请访问： FIDO2 – FIDO 联盟。

1. 引言

FIDO2 凭据的初始实现是在漫游身份验证器或平台身份验证器上创建为设备绑定的密钥，其中凭据的私钥存储在设备的身份验证器上，不允许从身份验证器导出、复制、备份或同步。此配置提供了一种非常安全且防网络钓鱼的身份验证解决方案，使信赖方（例如网站或服务提供商）能够非常高地确信用户和设备是系统的合法用户。然而，这种高水平的保证也带来了一些挑战——主要是在可用性和帐户恢复方面。例如，由于无法从身份验证器中获取私钥，因此如果存储私钥的设备丢失或损坏，则将丢失对密钥身份验证的资源的访问权限。使用设备绑定通行密钥时，解决方案是向每个信赖方注册第二个设备绑定通行密钥。这会造成更困难的用户体验，因为用户需要注册两个身份验证器。对于通过使用身份提供者（IdP）联合访问其应用程序来整合其身份验证流的组织来说，这种情况在一定程度上减少，因为信赖方是 IdP 本身。

为了解决这些挑战，苹果、谷歌和 Microsoft 于 2022 年 5 月宣布打算在其作系统中支持同步密钥。同步通行密钥具有许多与设备绑定通行密钥相同的特征，包括继续使用私钥和公钥对。然而，一个显着的区别是，同步的密钥允许将凭据的私钥同步到用户拥有的其他设备，这些设备存在于同一供应商的同步结构生态系统中（例如，Apple 生态系统中的 iCloud）。同步的密钥还可以创建更加简化和用户友好的体验。所有通行密钥都具有多种通用的安全属性，具有高度防网络钓鱼能力，并使用唯一的密钥对来实现强身份验证。但是，注意同步密钥和设备绑定密钥之间的区别也很重要。例如，同步的通行密钥在针对设备绑定的通行密钥进行分析时引入了新的安全注意事项。相反，同步的密钥可以更轻松地解决帐户恢复挑战。

当组织努力评估如何在其环境中使用这两种凭证类型时，他们需要查看和了解其组织的法律、法规和安全要求。在组织评估这些要求时，他们会多次将这些要求的组合称为身份验证保证级别（AAL），并将引用美国国家标准与技术研究院（NIST）的文档，该文档为不同的保证级别提供指导和建议。虽然 NIST 目前正在更新这些保证级别以更好地整合同步的密钥，但在评估设备绑定的密钥和同步的密钥在组织中的实施时，当前标准可能会有所帮助。有关 NIST 和 AAL 的详细信息，请参阅：身份验证器保证级别（nist.gov）。

就本白皮书而言，中度保障环境是指具有多种不同身份验证用例场景的组织，这些场景可以通过 AAL1 和/或 AAL2 以及 AAL3 保证级别的组合来满足。本白皮书将深入探讨设备绑定通行密钥和同步通行密钥的优缺点，以对两者进行比较，组织可以使用两者以及他们自己的法律、监管和安全要求来确定他们如何以及在何处将设备绑定通行密钥和同步通行密钥实施到其适度保证环境中，以便他们能够利用安全的、 FIDO2 凭据在其组织的所有部分提供的防网络钓鱼和用户友好的身份验证过程。

下载白皮书

2. FIDO 凭证采用注意事项

当组织评估使用设备绑定的通行密钥和同步的通行密钥来支持其组织的 AAL1、AAL2 和 AAL3 要求时，他们应该考虑几个因素。这些因素如下所述，旨在为组织提供所需的信息，以帮助分析这两种类型的凭据并确定它们可以在企业中的使用位置。

2.1. 用户体验
在用户体验方面，使用 FIDO 凭证向系统进行身份验证的目标始终是为用户提供易于使用且轻松的流程。最初的 FIDO 实现提供了简化的登录体验，但仍然带来了一些用户体验挑战。

通行密钥引入了多项增强功能，以帮助改善用户体验，包括一项名为“通行密钥自动填充 UI”的新功能，该功能使用户能够更轻松地访问通行密钥的创建，并提供类似自动填充的体验，用户只需在身份验证时选择他们想要使用的凭据，而无需再输入用户名或密码。这种体验变得非常易于使用，并且与大多数用户在使用密码管理器等解决方案时已经喜欢和熟悉的体验非常相似。创建比当前密码体验更受用户喜爱的通行密钥用户体验，消除了以前通行密钥实现中采用的障碍。

2.1.1 备份、丢失设备和恢复
使用设备绑定的通行密钥时，私钥将存储在身份验证器上，并且不允许离开身份验证器。这创建了一个非常安全的解决方案，但确实给用户和企业带来了关键数据备份、身份验证器丢失以及为用户添加新身份验证器方面的挑战。虽然对设备绑定的通行密钥（FIDO_Account_Recovery_Best_Practices-1.pdf （fidoalliance.org））有建议的恢复做法，但同步的通行密钥可以以更用户友好的方式解决这些挑战。通过实施同步密钥解决方案，用户不再需要向信赖方注册多个身份验证器，以确保在身份验证器丢失时继续访问。如果验证器丢失，用户可以使用通行密钥提供程序提供的恢复过程来恢复其通行密钥。此外，同步的通行密钥可提供更好的用户体验，因为用户不必为每台设备注册唯一的凭据或维护多个设备绑定的通行密钥，以最大限度地降低凭据丢失的风险。配置完成后，同步的通行密钥可在与通行密钥提供程序同步的所有设备上使用。

但是，同步的通行密钥确实会创建对通行密钥提供程序及其同步结构的依赖关系。每个提供商都实现自己的同步结构，其中包括自己的安全控制和机制，以防止凭据被滥用。具有特定安全或合规性要求的组织应评估哪些提供商或硬件安全密钥满足其要求。

同步的通行密钥具有较低的安全状况，因为它们允许将身份验证器上的私钥同步到用户在同一供应商生态系统中拥有的其他设备的身份验证器。组织还应该意识到，目前没有标准或系统允许他们跟踪这些凭证的创建和存储在哪些设备上，也没有机制来识别凭证何时与他人共享。对于需要高级别保证的组织用例，无法确定或获取此信息的事实意味着同步的密钥对于这些特定的组织用例来说不是一个好的解决方案，他们应该寻找设备绑定的密钥来支持这些用例。

2.3 凭证类型的证明和强制执行
证明是一项旨在增强注册过程安全性的功能。证明机制由规范定义为可选功能，尽管大多数硬件安全密钥都实现了它。证明是验证器向信赖方提供有关自身的元数据的能力，以便信赖方可以就是否允许验证器与其交互做出明智的决定。此元数据包括身份验证器证明全局唯一标识符（AAGUID）等项，AAGUID 是表示身份验证器的供应商和型号的唯一 ID、身份验证器使用的加密类型以及身份验证器的 PIN 和生物识别功能。一些身份验证器供应商还支持一项名为“企业证明”的功能，该功能允许组织在身份验证器注册请求中包含的证明中添加其他唯一标识信息，目的是使用此附加信息来支持企业内的受控部署，其中组织希望仅允许注册一组特定的身份验证器。有关企业证明的其他信息，请参阅此白皮书：FIDO-White-Paper-Choosing-FIDO-Authenticators-for-Enterprise-Use-Cases-RD10-2022.03.01.pdf （fidoalliance.org）。

在发布时，同步的通行密钥未实现证明，这意味着它们不适合具有需要更高级别保证的高特权用户的方案或想要实现企业证明的组织。为了支持这些高特权用户，信赖方和组织历来一直在寻找，并且将继续关注来自支持在其解决方案中并包含证明的供应商提供的设备绑定通行密钥和身份验证器。对于具有要求将所有用户视为高特权用户或需要实现企业证明的法规、法律或安全要求的组织，建议仅在其环境中实现设备绑定的密钥。配套的白皮书“高保证企业身份验证”提供了有关此方案的详细信息，可在此处找到： https://media.fidoalliance.org/wp-content/uploads/2023/06/FIDO-EDWG-Spring-2023_Paper-5_High-Assurance-EnterpriseFINAL5.docx-1.pdf。中等保证组织可以通过为其标准用户实施同步通行密钥来支持其所有用户，以用更安全的解决方案替换密码和 MFA，然后对高特权用户及其对需要最高级别保证的资源的访问使用设备绑定的通行密钥。

然而，在同一身份验证域中实现这两种类型的通行密钥确实会产生额外的挑战，要求组织采取额外的步骤来确保在访问资源时使用正确类型的通行密钥：例如，确保高特权用户在访问需要高级别保证的资源时使用设备绑定的通行密钥而不是同步的通行密钥。组织可以利用其身份提供商的用户风险评估和策略引擎框架来解决这一挑战。使用代表 AAL（或他们选择的其他属性）的标识符为用户会话添加水印，以用于下游授权决策，也可用于解决此挑战。在联合身份验证环境中，可以使用标准进行通信，例如 OpenID Connect 标准化的身份验证方法参考（amr， RFC8176）。

3. 总结

在中等保证环境中，可以同时实施设备绑定通行密钥和同步通行密钥，为组织的所有用例提供更安全的身份验证解决方案。可以实施更用户友好的同步密钥，以替换具有标准保证级别要求的用户的密码和 MFA，从而为他们提供更安全且更易于使用的身份验证方法。对于组织中需要最高级别安全性的高权限用户，可以颁发设备绑定通行密钥，以提供更高级别的安全性和身份验证过程的额外信任级别。该白皮书提供了比较具有更好用户体验的同步通行密钥与具有增强安全功能的设备绑定通行密钥的信息。使用此信息，组织可以评估设备绑定的密钥和同步的密钥，以确定如何在其组织中利用两者来提供易于使用且安全的身份验证方法，以满足并超过其中等保证环境的要求。

4. 后续步骤

组织的下一步是开始评估 FIDO2 凭据，以便组织可以摆脱密码，密码容易受到网络钓鱼的影响，并且有据可查，是其整体安全态势中的一个重大弱点。具有中等保证需求并将同时实施设备绑定通行密钥和同步通行密钥的组织应确定哪种凭证类型将提供最佳投资回报，首先努力实现该凭证类型，然后在可能的情况下完成其他凭证类型的部署。实现任一类型的 FIDO2 凭据都是在迁移到无密码环境和显着提高组织整体安全状况方面向前迈出的一大步。