FIDO (Fast IDentity Online的简称)是一个行业联盟,成立于2013年,旨在解决强大的认证设备之间缺乏互操作性,以及用户创建和记住多个用户名和密码所面临的问题。创始人中有在金融行业、设备制造商和认证解决方案提供商工作的人。

狗是什么?

根据狗联盟FIDO是一套开放的、可扩展的标准,能够在许多网站和移动服务中提供更简单、更安全的用户认证体验。

FIDO的初衷是让认证设备更容易使用,并解决来自不同供应商的设备之间的冲突。他们的目标是为整个认证技术范围提供一组规范。然后,这些规范应该为整个行业提供一个标准,从而实现更好的兼容性和更易于使用。

登录

目前,用户可以选择多种方式登录他们的服务和设备。我们讨论了双因素身份验证(2FA)的基础在过去,几乎所有人都认为记忆是不现实的27个或以上密码以及个人账户的用户名——在多个账户中重复使用密码也不安全。那么,我们有哪些登录选项呢?

最常见的可分为以下几类:

  • 经典的用户名和密码组合
  • 知道个人识别码(ATM取款,转账)
  • 使用电子邮件账户(当验证码通过邮件发送时)或移动设备(短信代码)
  • 秘密问题(有时很容易被猜出来,或者很容易通过网络钓鱼获得)
  • 物理键(读卡器,USB键)
  • 生物识别(指纹阅读器,虹膜扫描仪,声音识别)
  • 可扫描条形码或QR码并计算一次使用登录码的移动设备(Authy,谷歌Authenticator)
  • 已经登录到一个验证帐户(如Facebook登录)

问题和解决方案

由于FIDO试图为上面列出的各种登录选项标准化身份验证协议,他们必须识别从安全角度来看存在问题的技术,并寻找解决方案。

许多登录选项的问题之一是使用共享秘密,这意味着用户和检查登录的软件都需要知道正确的答案。您可能能够保守秘密,但您的软件可能会被骗将您的所有信息交给攻击者。通常情况下,他们会成功地破坏一个网站或服务的安全,并获得大量登录凭据。

解决这个问题的一种方法是使用非对称加密。基本上,用户创建两个不同的密钥,一个是私钥,一个是公钥。当用户通过响应挑战证明自己拥有私钥时,服务或网站可以使用用户注册时提供的网站或服务的公钥来验证用户对挑战提供的答案。作为握手,服务器根据只有私钥持有者才能回答的公钥向用户提问。但是答案并没有给出实际的私钥。

这个挑战是专门为登录尝试创建的,因此答案不能用于使用相同服务或不同服务的另一个登录。这样,用户是唯一能够回答这个问题的用户,也是唯一能够访问这两个密钥的用户。

优点和缺点

使用非对称密码学的优势很明显:

  • 它很容易使用,不需要记住密码。
  • 与弱密码不同,强非对称加密不能被暴力破解。
  • 相同的组合键可以用于多个登录(不要与挑战问题混淆,它是为每次登录尝试唯一生成的)。
  • 从网站和服务中偷窃是不可能的,即使是使用中间人攻击,因为私钥从来不会通过互联网发送。

一个重大的挫折可能是用户应该将他们的私钥给第三方,例如,因为她丢失了它或因为她是一个受害者钓鱼攻击直接要求私钥。在这种情况下,在多个站点和服务中使用此方法意味着用户将面临许多问题:使用此组合登录的每个服务都可能受到损害。

FIDO和这有什么关系?

FIDO联盟主办开放身份验证标准FIDO2,它支持使用安全密钥、移动电话和其他内置设备等硬件设备,在公钥加密的基础上构建强大的无密码身份验证。它使用W3C Web认证规范(WebAuthn API)和客户端认证协议(CTAP)来实现这一点,CTAP是用于在客户端(浏览器)或平台(操作系统)和外部认证器(即硬件安全密钥)之间进行通信的协议。

有了这些功能,硬件安全密钥可以将弱的、静态的用户名/密码凭据替换为强的、硬件支持的公共/私有密钥凭据。

由于FIDO2是一种开放标准,因此可以为现有硬件(如电话或计算机)和许多身份验证方式设计安全设备。此外,它可以用于不同的通信方式,如USB、蓝牙和近场通信(NFC),这允许在许多系统和设备上安全地进行非接触式身份验证。

对于需要更高安全级别的组织,FIDO2还可以进一步增强,因为它支持使用带有PIN、生物识别或手势的硬件认证设备,以提供额外的保护。

在未来证明你的身份

尽管FIDO已经使行业朝着更安全的在线认证方法迈出了一步,但它仍远未达到其设定的标准。目前FIDO的使用仅限于高端应用和组织。

尽管浏览器和操作系统已经开始开发对FIDO2的内置支持,但它们还没有准备好投入市场。此外,针对所有FIDO验证器类型(FIDO UAF、FIDO U2F、WebAuthn和CTAP)的服务器的新的通用服务器认证正在进行中。即使这些阶段已经完成,那些需要安全认证方法的网站和服务可能还需要一些说服才能开始使用这种新格式。最后,只有在早期用户适应了这项技术并对其大加赞赏之后,更多的主流用户才会效仿。

选择

使用非对称密钥是目前证明身份的最合理和最安全的方法,但它很可能被区块链技术.考虑到区块链技术的发展速度,特别是与相对缓慢的FIDO技术相比,这似乎是一种可能的情况。而且,像PCI-DSS这样的竞争性标准的创建,而不是将这些努力捆绑到创建一个全面的标准中,也没有任何帮助。

适用于所有标准的标准可能是适用性最广的标准。能够在任何地方登录而不需要密码的麻烦听起来太好了,几乎是不真实的,但答案就在那里。希望通过采用最好的标准,我们将看到一个更少的漏洞和更多的安心的未来。