编辑

杰罗姆·贝夸特,Axiad
格雷格·布朗,Axiad
来自 Amazon Web Services 的 Matt Estes

抽象

本白皮书旨在为组织提供指导,帮助他们分析 device-bound passkeys 和 synced passkeys 的功能和功能,以确定如何在中等保证环境中使用这两种凭证类型。 在本文中,术语“中等保证”是指法律、法规和安全要求足够灵活以允许使用这两种类型的凭证的环境或组织,使用 synced passkeys 替换密码,并使用多重身份验证 (MFA) 来替代标准用户帐户和设备 device-bound passkeys 适用于需要最高级别保护和保证的用户账户。 本白皮书旨在比较 device-bound passkeys 和 synced passkeys支持的功能和要求,从而提供如何在具有中等保证需求的组织中同时使用这两种类型的凭证的愿景。

观众

本白皮书是系列白皮书中的一篇,面向正在考虑在整个组织中部署 FIDO 身份验证的任何人,包括 IT 管理员、企业安全架构师和高管。

读者可以 在此处找到该系列论文的介绍。 介绍性白皮书提供了该系列中所有论文的其他描述和链接,涵盖了从低确定度到高确定度的一系列使用案例。 我们预计大多数企业将拥有跨越多篇这些文章的使用案例,并鼓励读者查看与其部署要求相关的白皮书。

本白皮书假定读者对 FIDO2 凭证及其在
认证过程;有关 FIDO2 的介绍性信息,请访问: FIDO2 – FIDO Alliance

1. 引言

FIDO2 凭证的初始实现是在漫游身份验证器或平台身份验证器上创建为 device-bound passkeys ,其中凭证的私钥存储在设备的身份验证器上,不允许从身份验证器导出、复制、备份或同步。 此配置提供了一种非常安全且防网络钓鱼的身份验证解决方案,使依赖方(例如,网站或服务提供商)能够非常确信用户和设备是系统的合法用户。 然而,这种高水平的保证也带来了一些挑战——主要是关于可用性和帐户恢复。 例如,由于无法从身份验证器获取私钥,因此,如果存储私钥的设备丢失或损坏,则对该密钥身份验证的资源的访问将丢失。 使用 device-bound passkeys,解决方案是向每个依赖方注册第二个设备绑定的密钥。 这会产生更困难的用户体验,因为用户需要注册两个身份验证器。 对于通过使用身份提供商 (IdP) 联合访问其应用程序来整合其身份验证流程的组织来说,这在一定程度上会减少,因为依赖方就是 IdP 本身。

为了解决这些挑战,Apple、Google 和 Microsoft 于 2022 年 5 月宣布打算在其操作系统中支持 synced passkeys 。 同步密钥具有许多与 device-bound passkeys相同的特性,包括继续使用私钥和公钥对。 然而,一个显著的区别是, synced passkeys 允许将凭证的私钥同步到用户拥有的同一供应商的同步结构生态系统中存在的其他设备(例如,Apple 生态系统中的 iCloud)。 同步密钥还允许创建更简化和用户友好的体验。 所有密钥都共享几个常见的安全属性,具有高度的防网络钓鱼能力,并使用唯一的密钥对来启用强身份验证。 但是,注意同步 device-bound passkeys之间的区别也很重要。 例如,在针对设备绑定的密钥进行分析时, synced passkeys 会引入新的安全注意事项。 相反, synced passkeys 可以更轻松地解决帐户恢复难题。

当组织努力评估在其环境中如何以及在何处使用这两种凭证类型时,他们将需要审查和了解其组织的法律、法规和安全要求。 当组织评估这些要求时,他们会多次将这些要求的组合称为身份验证保证级别 (AAL),并引用美国国家标准与技术研究院 (NIST) 的文档,该文档为不同的保证级别提供指导和建议。 虽然 NIST 目前正在进行更新这些保证级别以更好地整合 synced passkeys的工作,但在评估设备 device-bound passkeys 和 synced passkeys 在组织中的实施情况时,当前标准可能会有所帮助。 有关 NIST 和 AAL 的更多信息,请访问: Authenticator 保证级别 (nist.gov)。

在本白皮书中,中等保证环境是指具有多种不同身份验证使用案例场景的组织,可以通过 AAL1 和/或 AAL2 以及 AAL3 保证级别的组合来满足这些场景。 本白皮书将更深入地探讨 device-bound passkeys 和 synced passkeys 的优缺点,以提供组织可以使用的两者之间的比较,以及他们自己的法律、法规和安全要求,以确定他们如何以及在何处实施 device-bound passkeys 和 synced passkeys 到其中等保证环境中,以便他们可以利用 FIDO2 凭证在其组织的所有部分提供的安全、防网络钓鱼和用户友好的身份验证流程。

2. FIDO 凭证采用注意事项

当组织评估使用 device-bound passkeys 和 synced passkeys 来支持其组织的 AAL1、AAL2 和 AAL3 要求时,他们应考虑几个因素。 这些因素如下所述,旨在为组织提供所需的信息,以帮助分析这两种类型的凭证并确定它们在企业中的使用位置。

2.1. 用户体验
在用户体验方面,使用 FIDO 凭证对系统进行身份验证的目标一直是为用户提供一个易于使用且轻松的过程。 最初的 FIDO 实现提供了简化的登录体验,但仍然带来了一些用户体验挑战。

通行密钥 引入了几项增强功能,以帮助改善用户体验,包括一项名为“通行密钥自动填充 UI”的新功能,该功能使用户能够更轻松地访问通行密钥的创建,并提供类似自动填充的体验,用户只需在进行身份验证时选择他们想要使用的凭证,而不再需要键入其用户名或密码。 这种体验变得非常易于使用,并且与大多数用户在使用密码管理器等解决方案时已经喜欢并感到满意的体验非常相似。 创建用户更喜欢的密钥用户体验,而不是他们当前的密码体验,可以消除以前的密钥实施中出现的采用障碍。

2.1.1 备份、丢失设备和恢复
使用 device-bound passkeys时,私钥将存储在身份验证器上,不允许离开身份验证器。 这创建了一个非常安全的解决方案,但确实给用户和企业带来了关键数据备份、身份验证器丢失以及为用户添加新身份验证器的挑战。 虽然对 device-bound passkeys (FIDO_Account_Recovery_Best_Practices-1.pdf (fidoalliance.org) 有建议的恢复做法,但 synced passkeys 可以以对用户更友好的方式解决这些难题。 通过实施同步密钥解决方案,用户不再需要向依赖方注册多个身份验证器,以确保在身份验证器丢失的情况下继续访问。 如果验证器丢失,用户可以使用密钥提供程序提供的恢复过程来恢复其密钥。 此外, synced passkeys 可提供更好的用户体验,因为用户不必为每个设备注册唯一凭证或维护多个 device-bound passkeys ,从而最大限度地降低凭证丢失的风险。 配置后, synced passkeys 可在与密钥提供商同步的所有设备上使用。

但是,同步的密钥确实会对密钥提供程序及其同步结构产生依赖关系。 每个提供程序都实现自己的同步结构,其中包括自己的安全控制和机制,以防止凭据被滥用。 具有特定安全性或合规性要求的组织应评估哪些提供商或硬件安全密钥满足其要求。

同步密钥的安全状况较低,因为它们允许将身份验证器上的私钥同步到用户在同一供应商生态系统中拥有的其他设备的身份验证器。 组织还应该意识到,目前没有标准或系统允许他们跟踪这些凭证的创建和存储设备,也没有机制来识别凭证何时与他人共享。 对于组织中需要高级别保证的使用案例,无法确定或获取此信息的事实意味着 synced passkeys 不是这些特定组织使用案例的良好解决方案,他们应该寻求 device-bound passkeys 来支持这些使用案例。

2.3 凭证类型的证明和执行
认证是一项旨在增强注册过程安全性的功能。 规范将认证机制定义为可选功能,但大多数硬件安全密钥都会实现它。 证明是验证器将有关自身的元数据返回给依赖方的能力,以便依赖方可以就是否允许验证器与其交互做出明智的决定。 此元数据包括验证 Authenticator 证明全局唯一标识符 (AAGUID) 等项目,AAGUID 是表示验证器的供应商和型号、验证器使用的加密类型以及验证器的 PIN 和生物识别功能的唯一 ID。 一些身份验证器供应商还支持一项称为 Enterprise Attestation 的功能,该功能允许组织在身份验证器注册请求中包含的认证中添加其他唯一标识信息,目的是使用这些附加信息来支持企业内的受控部署,其中
组织希望仅允许注册一组特定的身份验证器。 有关企业鉴证的其他信息,请参阅此白皮书:FIDO-White-Paper-Choosing-FIDO-Authenticators-for-Enterprise-Use-Cases-RD10-2022.03.01.pdf (fidoalliance.org)。

在发布时, synced passkeys 不会实施认证,这意味着对于需要更高级别保证的高权限用户的方案或希望实施企业认证的组织,它们不是合适的解决方案。 为了支持这些高特权用户,依赖方和组织过去一直关注,并且需要继续关注支持并在其解决方案中包含认证的供应商提供的 device-bound passkeys 和身份验证器。 对于具有法规、法律或安全要求(要求将所有用户视为高权限用户或需要实施企业认证)的组织,建议仅在其环境中实施 device-bound passkeys 。 配套白皮书“High Assurance Enterprise Authentication”提供了有关此方案的详细信息,可在此处找到: https://media.fidoalliance.org/wp-content/uploads/2023/06/FIDO-EDWG-Spring-2023_Paper-5_High-Assurance-EnterpriseFINAL5.docx-1.pdf。 中等保证组织可以通过为其标准用户实施 synced passkeys 来支持其所有用户,以使用更安全的解决方案替换密码和 MFA,然后为高权限用户及其对需要最高级别保证的资源的访问权限使用 device-bound passkeys 。

但是,在同一个身份验证域中实施这两种类型的密钥确实会带来额外的挑战,这将要求组织采取额外的步骤来确保在访问资源时使用正确类型的密钥:例如,确保高权限用户在访问需要高级别保证的资源时使用设备绑定的密钥,而不是同步的密钥。 组织可以利用其身份提供商的用户风险评估和策略引擎框架来解决这一挑战。 使用代表 AAR(或他们选择的其他属性)的标识符为用户的会话添加水印,以用于下游授权决策,也可以用于解决这一挑战。 在联合身份验证环境中,可以使用 OpenID Connect 标准化的身份验证方法参考 (amr, RFC8176) 等标准来传达这一点。

3. 总结

在中等保证环境中, device-bound passkeys 和 synced passkeys 可以一起实施,以便为组织的所有用例提供更安全的身份验证解决方案。 对于具有标准保证级别要求的用户,可以实施更加用户友好的 synced passkeys 来替换密码和 MFA,从而为他们提供更安全且更易于使用的身份验证方法。 对于组织中需要最高级别安全性的高权限用户,可以颁发 device-bound passkeys ,从而在身份验证过程中提供更高级别的安全性,并提供额外的信任级别。 本白皮书提供了将具有更好用户体验的 synced passkeys与具有增强安全功能 device-bound passkeys进行比较的信息。 使用此信息,组织可以评估 device-bound passkeys 和 synced passkeys ,以确定如何在其组织中利用这两者来提供易于使用且安全的身份验证方法,从而满足并超过其中等保证环境的要求。

4. 后续步骤

组织的下一步是开始评估 FIDO2 凭证,以便组织可以摆脱密码,因为密码容易受到网络钓鱼的攻击,并且有据可查是其整体安全状况中的一个重大弱点。 具有中等保证需求并将同时实施 device-bound passkeys 和 synced passkeys 的组织应确定哪种凭证类型将提供最佳投资回报,首先努力实现该凭证类型,然后尽可能完成其他凭证类型的部署。 实施任一类型的 FIDO2 凭证都是向无密码环境迈进的一大步,并显著提高了组织的整体安全状况。

5. 鸣谢

我们要感谢所有参与小组讨论或花时间审阅本文并提供意见的 FIDO Alliance 成员,特别是:

  • 凯伦·拉森 (Karen Larson),Axiad
  • 杰夫·克雷默 (Jeff Kraemer),Axiad
  • Amazon Web Services 的 Dean H. FIDO Alliance 企业部署工作组联合主席
  • Tom Sheffield,Target Corporation
  • FIDO 企业部署工作组成员