FIDO认证简介

传统的账号认证方式,不管是静态密码、证书、动态令牌,都需要把用户持有的凭证传输到服务端进行验证,就会存在各种各样的风险来伪造用户凭证来进行攻击。

根据LastPass的统计,平均每个企业用户需要管理191个账户密码!而Pew Research的统计表明,很少有人使用密码管理器,在2017年只有12%的受访者使用密码管理器,甚至还有49%的受访者把密码写在纸上。难怪Verizon在《2018年数据泄露调查报告》指出,81.1%的数据泄露事件都是由密码泄漏引起的。

为提高账户的安全性,对认证的安全方式经过三次进化:

静 态 密 码 认 证

我们与计算机密码之间有着难以言说的爱/恨关系。安全行业有一个共识:密码终将会消失。但是从目前的情况来看,密码的寿命还会很长,甚至在数量上还有越来越多的趋势。

静态密码是由用户自己设定的,一些人为图方便记忆,将密码设置为生日或是纯数字,结果遭遇不法分子的轻松破解。

接下来看一下静态密码的缺点:

1)静态密码的易用性和安全性互相排斥,两者不能兼顾,简单容易记忆的密码安全性弱,复杂的静态密码安全性高但是不易记忆和维护;

2)静态密码安全性低,容易遭受各种形式的安全攻击;

3)静态密码的风险成本高,一旦泄密将可能造成最大程度的损失,而且在发生损失以前,通常不知道静态密码已经泄密;

4)静态密码的使用和维护不便,特别一个用户有几个甚至十几个静态密码需要使用和维护时,静态密码遗忘及遗忘以后所进行的挂失、重置等操作通常需要花费不少的时间和精力,非常影响正常的使用感受。

事实上静态密码已经无法满足我们的安全需求,所以想要保障自己的信息安全还是另寻他路吧!

安 全 设 备 认 证

为了进一步提高账户安全性,双因素身份认证问世了。最普遍的2FA方式就是短信验证码、OTP动态令牌、基于USBKey的CA认证等等。

1)短信验证码依赖信任手机和SIM卡以及运营商基站,手机和SIM可能丢失或被盗,基站存在被伪造,甚至通过钓鱼网站、中间人攻击等手段获取用户正确的验证码,安全性大打折扣;

2)OTP动态令牌,UsbKey CA证书使用独立硬件作为身份认证的入口,要随身带硬件设备并且依赖负责的后端服务器来管理,成本非常大使用很不方便;没有标准各个厂商各自维护自有协议。

生 物 特 征 认 证

为了账户的安全性和便捷性同时得到保障,使用人体特有的生物特征作为验证手段是非常有吸引力的,随着计算机算法的发展生物特征识别的准确率越来越精确,而生物识别的硬件设备也越来越便宜高效,大部分手机厂商已经内置了丰富的生物识别设备,使得生物特征认证越来越受到欢迎。

目前的一可信设备手机之中,具有更好的安全性、便捷性、适配性以及隐私保护性。

FIDO(Fast IDentity Online)

在线快速身份验证联盟立于2012年,它的目标是创建一套开放、可扩展的标准协议,支持对Web应用的非密码安全认证,消除或减弱用户对密码的依赖。

它主要是通过两个标准协议来实现安全登录(验证):

无密码的UAF(Universal Authentication Framework)
1)用户携带含有UAF的客户设备(通常手机或pc就已内置有采集设备);

2)用户出示一个本地的生物识别特征(指纹、人脸、声纹);

3)网站可以选择是否保存密码;

用户选择一个本地的认证方案(例如按一下指纹、看一下摄像头、对麦克说话,输入一个PIN等)把他的设备注册到在线服务上去。只需要一次注册,之后用户再需要去认证时,就可以简单的重复一个认证动作即可。用户在进行身份认证时,不在需要输入他们的密码了,UAF也允许组合多种认证方案,比如指纹+PIN。

UAF适用于典型的2C业务场景,基于手机、平板、智能手表内置的生物识别设备进行验证无需增加其他设备。

第二因子的U2F(Universal Second Factor(U2F) protocal)
1)用户携带U2F设备,浏览器支持这个设备

2)用户出示U2F设备,浏览器读取设备证书

3)网站可以使用简单的密码(比如4个数字的PIN)

U2F是在现有的用户名+密码认证的基础之上,增加一个更安全的认证因子用于登录认证。

用户可以像以前一样通过用户名和密码登录服务,服务会提示用户出示一个第二因子设备来进行认证。U2F可以使用简单的密码(比如4个数字的PIN)而不牺牲安全性。U2F出示第二因子的形式一般是按一下USB设备上的按键或者放入NFC。

U2F适用于典型的2B业务场景,基本PC用户的使用场景,企业可以为内部人员配备专业的FIDO设备硬件用于应用系统的登录认证。

无 密 码 登 录

2019年3月4日万维网联盟(W3C)宣布:Web身份验证API(WebAuthn)现在已成为官方Web标准。

WebAuthn于2015年11月由W3C和Fido联盟宣布,现已成为网上无密码登录的开放标准。它由W3C贡献者支持,包括Airbnb、阿里巴巴、苹果、谷歌、IBM、英特尔、微软、Mozilla、PayPal、软银、腾讯和Yubico。

该规范允许用户使用生物特征、移动设备或FIDO安全密钥登录在线帐户。Android和Windows10已经支持WebAuthn。在浏览器方面,谷歌Chrome、Mozilla Firefox和微软Edge浏览器去年都开始支持WebAuthn。

自去年12月以来,苹果就在Safari的预览版中支持WebAuthn。

身 份 协 议 栈

FIDO认证在整个身份协议栈位于身份鉴别层,派拉软件ESC产品结合FIDO和基于AI行为分析技术,整个用户登录过程如下:

a.用户登录,通过浏览器获取手机APP,收集客户端信息、设备指纹、上下文、地理位置等信息,提交到到服务端

b.服务端根据AI及大数据算法模型,对客户端信息进行分析计算风险值,并根据不同的风险等级,让客户端采用不同安全等级的认证方式

c.客户端收到认证请求后采用FIDO或其他认证提交认证凭据

d.服务端验证通过,给客户端颁发Token

总 结

不管是2C还是2B应用系统会越来越多种多样,人们已经无法记住那么多系统的密码,安全可靠的无密码登录技术会是未来的趋势;FIDO相关国际标准的发布,FIDO联盟越来越多的互联网巨头的加入,FIDO将会在更多的项目产品中落地;

身份认证及安全登录相关产品在中国未来的趋势国家政策和相关标准陆续出台,逐步规范身份认证行业;

金融、政务、互联网、制造业等相关领域对统一身份管理和安全认证需求及技术要求越来越高;

国内互联网行业身份认证领域壁垒重重,坚持统一的身份认证规范和标准,打破壁垒才能实现开放共赢;

在互联网时代下,个人隐私的保护和合规使用,特别是生物特征数据的敏感性对身份认证技术提出更高的要求,派拉软件融合FIDO和各种安全认证技术都可以充分的满足新时代的要求。

了解——FIDO认证相关推荐

  1. Android解锁fido,FIDO认证

    FIDO认证 1. Fido状态监测 (@since 云助手app 3.9.0) yzs.checkFidoStatus({ success: function(res) { /* { "c ...

  2. WEB应用快速实现双因素登录案例-FIDO身份认证

    FIDO身份认证 传统的身份认证方式,无论是使用口令还是指纹等生物特征,几乎都要通过用户和服务器两侧的凭证匹配来完成.但是,随着数据泄漏的频发,全球的个人用户已经意识到,即使诸如雅虎.脸书这样规模,依 ...

  3. FIDO身份认证更加契合个人信息保护法

    随着"数据安全法"和"个人信息保护法"的陆续出台,国家对个人隐私信息的保护措施日趋完善具体.FIDO协议始终是围绕保护用户的隐私来设计的.这些协议不会向在线服务 ...

  4. FIDO身份认证与个人信息保护法

    随着"数据安全法"和"个人信息保护法"的陆续出台,国家对个人隐私信息的保护措施日趋完善具体.FIDO协议始终是围绕保护用户的隐私来设计的.这些协议不会向在线服务 ...

  5. 什么是FIDO、什么是FIPS浅理解

    Fido问题回答如下: 1.FIDO是什么? 答:FIDO是一种在线验证用户身份的技术规范:是一个基于标准.可互操作的身份认证生态系统. 2.FIDO能做什么 答:FIDO可以做身份鉴别. 3.FID ...

  6. Google登录强制启用二次身份验证与FIDO解决方案

    据外媒 mspoweruser 报道,谷歌宣布将从 2021年11月9日起将强制要求对 Google 账户进行两步验证登录,以保证安全性.谷歌表示,保护用户账户防止密码泄露造成损失的最佳方法是开启两步 ...

  7. FIDO与WebAuthn

    文章目录 FIDO 背景 FIDO是什么 fido1.0 fido2.0 FIDO2能做什么 FIDO2实现 介绍一些概念 1.什么是WebAuthn 2.FIDO2的组件 3.常用术语和概念 使用流 ...

  8. FIDO UAF Extension

    原文链接:  Extension结构 FIDO扩展在很多地方出现,包括UAF协议消息,认证器命令或由认证器签名的断言等.每个扩展都有一个标识符,扩展标识符的命名空间是FIDO UAF全局的(例如命名空 ...

  9. FIDO UAF Specification Protocol(Considerations节译)

    原文链接:http://blog.csdn.net/u014142287/article/details/69487015 4.Considerations 4.1核心协议设计思考 本部分描述一些在协 ...

最新文章

  1. Robotium todolist.test.elements
  2. runtime error: invalid memory address or nil pointer dereference
  3. 分页数据的新展示方式---瀑布流
  4. PAT甲级1114 Family Property:[C++题解]结构体、并查集、测试点3、4、5有问题的进来!!
  5. 产品策划七:App界面交互设计规范
  6. Thymeleaf——访问静态资源(static)解决方案
  7. 宏观经济之国家经济与建设
  8. P3911-最小公倍数之和【莫比乌斯反演】
  9. php李捷,【问题解答】蝶泳手外划的作用
  10. SpringCloud创建Config读取本地配置
  11. 40-10-010-运维-kafka-2.11-基本操作
  12. python中函数参数*args和**kw的区别
  13. 【论文笔记】SimplE Embedding for Link Prediction in Knowledge Graphs
  14. BCM业务连续性管理
  15. 【Python笔记】pyspark.sql.functions
  16. unity3d的Animation 动画播放器的基本API
  17. 开源的 CMD 配色工具:ColorTool
  18. 为何在网络上很难赚到钱?网络副业赚钱真的很难做吗?
  19. 极路由设置虚拟服务器,HiWiFi极路由手机设置教程
  20. java计算机毕业设计springboot+vue中国古诗词网站(源码+系统+mysql数据库+Lw文档)

热门文章

  1. WordPress php升级到7.2提示Warning: Use of undefined constant Y – assumed ‘Y’ 问题解决
  2. 数据库服务器对硬件配置的要求
  3. 某券商OA系统遭受攻击,金融企业如何保障办公安全?
  4. depends-工具的用法
  5. 新歌 wuha之《武汉》
  6. 末流985,秋招斩获多家大厂offer 经验分享
  7. 初识BoTNet:视觉识别的Bottleneck Transformers
  8. 图像识别、图像模糊检测
  9. Error in stats::arima(x,order=order,seasonal=seasonal,fixed=par[1:narma],:wrong length for 'fixed'解决
  10. labelimg安装及使用