白皮书：在企业中用通行密钥密钥替换仅密码身份验证

29 8 月, 2024

编辑

来自 Amazon Web Services 的 Khaled Zaky

抽象

本白皮书介绍了对更安全、更便捷的身份验证解决方案的需求。密码长期以来一直是身份验证的标准，但密码固有的风险降低了其作为身份验证机制的功效。多因素身份验证（MFA）解决方案进入市场已有一段时间，但由于各种障碍，其普及速度一直很慢。密码钥匙是一种身份验证解决方案，它减少了采用传统 MFA 机制的障碍，同时与密码和传统 MFA 解决方案相比，具有更高的安全性、易用性和可扩展性。密码匙利用设备上的生物识别技术或 PIN 码进行身份验证，提供无缝的用户体验。本白皮书概述了通行密钥的优势、用户体验以及企业采用通行密钥的注意事项。

1. 引言

密码长期以来一直是身份验证的标准，但其固有的安全漏洞使其可被利用。许多密码很容易被猜到或通过数据泄露获得，而在多个帐户之间重复使用密码只会加剧问题。此漏洞使它们容易受到撞库攻击，这些攻击使用泄露或常用的密码来未经授权访问用户帐户。事实上，密码是超过 80% 的数据泄露的根本原因，高达 51% 的密码被重复使用。尽管存在这些安全问题，但许多消费者和组织仍然完全依赖密码进行身份验证。根据 FIDO Alliance最近的一项研究，59% 的消费者只将通行证用于他们的工作计算机或帐户。

组织使用传统的多因素（MFA）机制，例如通过 SMS、电子邮件或身份验证器应用程序提供的一次性密码（OTP），以降低与基于密码的单因素身份验证系统相关的风险。使用密码单因素身份验证的组织，或已部署 OTP 以减少网络钓鱼和撞库行为的组织，可以使用用户已经使用的设备（笔记本电脑、台式机和移动设备）实施密钥作为密码替换，以提供更好的用户体验、减少身份验证摩擦并改进安全属性。有关密钥和术语的介绍，请参阅 FIDO Alliance的密钥资源页面。在接下来的页面中，我们将重点介绍如何将现有的仅密码用例迁移到密钥。有关其他使用案例，请参阅此处。

下载白皮书

2. 为什么通行密钥比密码更好？

通行密钥是用于身份验证目的的密码的出色替代方案，与传统的 MFA 方法相比，它的可用性更高。它们提供了多项好处，例如更好的用户体验、降低丢失凭据的成本、防止网络钓鱼和防止凭据泄露。

同步密钥为跨多个设备的用户提供一致的身份验证体验。这是通过利用操作系统平台（或第三方同步结构，例如来自密码管理器的同步结构）来同步 FIDO 凭证的加密密钥来实现的。这允许使用生物识别或设备 PIN 快速轻松地登录。同步密钥还提高了可扩展性和凭证恢复能力。使用 synced passkeys ，用户不必在他们拥有的每台设备上注册新的 FIDO 凭证，从而确保他们始终可以访问其密钥，无论他们是否更换设备。

另一方面，设备 device-bound passkeys （例如安全密钥）可以在多个设备上使用，从而实现跨设备移植性。与可在任何同步设备上访问的 synced passkeys 不同， device-bound passkeys 与特定的物理安全密钥相关联。

在安全性方面，通行密钥建立在 FIDO 身份验证标准之上，对网络钓鱼和撞库威胁提供了强大的抵抗力。此外，密钥依赖于现有的设备上安全功能，使中小型企业更容易采用更强大的身份验证方法。

最后，密钥为安全高效的身份验证提供了全面的解决方案，优于密码和传统的 MFA 身份验证方法。 Passkeys 具有无缝的用户体验、改进的可扩展性和增强的安全性，是适用于各种规模组织的宝贵解决方案。

3. 通行密钥用户体验

3.1 创建密钥视觉 UX/UI

注意：本节将通过示例概述密钥注册和登录过程。注意： FIDO Alliance 用户体验工作组已为通行密钥制定了 UX 指南，可在此处获取。

在密钥注册流程中，首先会提示用户提供电子邮件或用户名及其密码进行身份验证。

2. 然后，用户只需按照提示提供设备上的生物识别或 PIN 身份验证即可。

3.2 使用密钥视觉 UX/UI 登录

要使用密钥登录，用户只需选择电子邮件或用户名。
可用的密钥将显示在密钥自动填充用户界面中。

4. 企业采用注意事项

在大大小小的企业中，有些系统和服务依赖于使用密码的单因素身份验证。我们将这些使用案例统称为“低确定性使用案例”。对于低可靠性使用案例，技术领导者可以用密钥取代仅密码身份验证机制，从而显著降低网络钓鱼的风险，并消除密码重用和撞库行为。但是，即使对于低可靠性用例，企业也必须考虑影响其技术和实施选择的因素，我们将在下面概述这些因素。

作为在企业中部署密钥的先决条件，领导者必须明确定义用例集、用户以及密钥对这组密钥的适用性。

4.1 依赖方（RP）是否支持密钥？
在撰写本文时（2023 年第 2 季度），密钥是一项相对较新的技术，因此无法保证提供广泛的支持。当组织审查其系统以确定迁移到通行密钥的候选者时，领导者必须首先确定其生态系统中支持通行密钥的哪些位置。

首先，对于内部开发/管理的应用程序，如何将密钥支持添加到应用程序中？如果使用单点登录（SSO）机制联合多个应用程序和服务，则向身份提供程序（IdP）添加密钥支持可以将对密钥的支持传播到众多联合应用程序，从而创建一个丰富的服务生态系统，支持密钥，其工程工作专注于 SSO IdP。相反，如果环境使用多个独立的应用程序，每个应用程序都使用基于密码的身份验证，则组织将不得不在其应用程序套件中优先考虑 FIDO 实施，以利用密钥，或者考虑迁移到 IdP 支持密钥的联合身份验证模型。

其次，第三方开发或托管的应用程序可能支持也可能不支持密钥。如果组织的服务提供商目前不支持密钥，请询问何时需要支持。或者，如果组织正在寻求联合身份模型，则服务提供商是否支持入站联合身份验证？如果是这样，最终用户可以在联合到服务提供商的系统之前使用密钥向 IdP 进行身份验证。

4.2 哪些设备用于创建、管理和验证密钥？
确定一组目标应用程序或 IdP 后，确定应用程序的用户及其用于访问这些应用程序或 IdP 的设备。一般来说，使用现代操作系统、浏览器和硬件的用户将广泛支持在平台设备上注册、使用凭证管理器或硬件安全密钥注册的通行密钥。每种机制都需要权衡取舍。

如今，密钥提供程序允许用户注册密钥，这些密钥将同步到用户向同步结构注册的所有设备。通行密钥提供程序可以是操作系统、浏览器或代表用户存储和管理通行密钥的凭据管理器的一部分。如果用户丢失或更换了他们的设备，则可以将密钥同步到新设备，从而最大限度地减少对用户的影响。通常，对于经常使用少量设备的用户来说，这是一个很好的解决方案。

相反，硬件安全密钥会创建device-bound passkeys;他们永远不会离开设备。如果用户丢失了硬件密钥，他们必须对设备上存储的所有凭据进行备份或执行帐户恢复。通行密钥如果其他用户未受硬件限制，则可以与其他用户共享密钥。

硬件安全密钥需要通过 USB、蓝牙或 NFC 连接到用户的计算设备，而提供商在引导后始终可以在用户的设备上使用。平台凭证可用于使用 FIDO 跨设备身份验证在附近的设备上进行身份验证。企业应考虑在多个共享设备之间移动的用户是否应该在所有共享设备之间同步密钥、使用硬件密钥或使用混合流程来最好地支持他们的工作方式。

当用户使用单个帐户（或配置文件）在共享设备上操作时，注册到平台或凭据管理器的通行密钥并不合适。对于这种情况，建议使用硬件密钥上的设备绑定密钥。如果用户携带移动设备，请考虑在设备上注册密钥，并使用跨设备身份验证流程对用户进行身份验证。

与密码不同，上面介绍的所有密钥解决方案都提供了强大的网络钓鱼防护能力，并消除了 RP 和重复使用的凭据盗窃。

4.3 注册与恢复
如果对用户可以注册其密钥的设备或平台没有限制，则用户可以通过使用用户选择的设备从现有密码启动新凭证来自行配置密钥。如果使用硬件安全密钥，组织应为每个用户提供两个安全密钥，以允许备份凭证。

只要用户帐户上的密码保持活动状态，用户就可以在上述自我预配置后从凭据丢失中恢复。仅当用户无法从其密钥提供程序恢复其凭证时，才需要执行此步骤。