FIDO无密码身份认证
字数 1726 2025-08-18 11:35:59

FIDO无密码身份认证技术详解

一、密码认证体系存在的问题

根据FIDO联盟数据,密码认证体系存在以下严重问题:

  1. 安全问题

    • 81%与黑客相关的违规行为由弱密码或被盗密码引起
    • 51%的密码被重复使用
    • 2022年4季度以来,恶意网络钓鱼电子邮件数量增加了1265%

  2. 用户体验问题

    • 很多用户拥有超过90个在线账户,为方便管理使用相同密码
    • 因忘记密码导致1/3的在线购物被放弃

  3. 运营成本问题

    • 人工帮助重置一个密码平均消耗70美元的服务台人工成本

二、现有解决方案及其局限性

1. 多因子认证(MFA)

认证因子分类

  • 秘密信息因子:密码、PIN码、安全问题验证
  • 物品因子
    • 软件:短信/邮件验证码、软件OTP、认证器APP、第三方认证服务
    • 硬件:身份证件、硬件OTP令牌、硬件加密狗
  • 生物特征因子:指纹、语音、面部特征、虹膜、视网膜图案、行为生物识别
  • 位置因子:特定位置、设备、IP范围
  • 时间因子:特定时间段

局限性

  • 认证方式配置和使用繁琐
  • 大多数互联网服务仅将MFA作为可选项
  • 无法完全解决密码体系固有的问题

2. 无密码单因子认证

现有方案

  • 短信验证码登录(存在安全性不高、通道堵塞等问题)
  • 基于FIDO的无密码认证方案(新兴解决方案)

三、FIDO技术详解

1. FIDO联盟

  • 全称:Fast IDentity Online联盟
  • 目标:建立认证标准,减少对密码的依赖
  • 会员包括:苹果、微软、Google、Paypal、VISA、MasterCard、RSA、三星、华为、联想、阿里巴巴等

2. FIDO规范体系

  1. FIDO U2F(现称CTAP1)

    • 为现有密码系统添加第二因子
    • 用户仍使用用户名密码登录,可选择性出示第二因子设备
    • 允许简化密码(如4位PIN)而不影响安全性

  2. FIDO UAF

    • 支持无密码体验
    • 用户通过本地认证机制(指纹、面部识别等)注册设备
    • 服务可选择向用户提供的认证机制

  3. FIDO2

    • 由两部分组成:
      • WebAuthn:W3C标准web API,内置于浏览器和平台
      • CTAP
        • CTAP1:原FIDO U2F
        • CTAP2:允许使用外部认证器(安全密钥、移动设备等)通过USB/NFC/BLE进行认证

3. FIDO工作原理

核心机制

  • 使用标准公钥加密技术
  • 为每个在线服务创建唯一的加密密钥对(称为Passkey)
  • 设备保留私钥,服务注册公钥
  • 无共享秘密,抵御网络钓鱼

注册流程

  1. 用户提交注册表单
  2. 服务端返回注册请求
  3. 浏览器调用创建密钥接口
  4. 系统平台通知认证器创建密钥
  5. 认证器本地认证用户后创建密钥
  6. 返回经私钥签名的公钥信息
  7. 服务端绑定公钥与用户

登录流程

  1. 服务端下发认证请求
  2. 认证器使用私钥对信息签名
  3. 服务端用注册公钥验证签名

四、FIDO技术的优缺点

优点

  1. 标准化

    • 国际工业标准
    • 统一后台服务可适配所有支持FIDO的智能终端

  2. 安全性

    • 生物特征和私钥保存在硬件可信环境(不上传云端)
    • 支持TEE或SE执行关键操作及安全存储秘钥
    • 抵御网络钓鱼攻击

  3. 灵活性

    • 支持多种生物识别方式
    • 不同认证手段可共用同一身份认证后端

  4. 开放性

    • 有开源的软件及硬件认证器实现

缺点

  1. 设备普及度

    • 许多设备未内置FIDO认证器
    • 需使用外置FIDO认证器

  2. 认证方式限制

    • 规范未强制本地认证方式
    • 部分认证器仅需按钮确认,无法防范近源攻击

五、实施建议

  1. 适用场景

    • 高安全需求场景(如金融、政府服务)
    • 企业内部身份认证系统
    • 对用户体验要求高的消费级应用

  2. 实施条件

    • 确保终端设备支持FIDO标准
    • 选择适当的认证器类型(内置/外置)
    • 评估生物识别认证的可行性

  3. 迁移策略

    • 初期可作为密码认证的补充选项
    • 逐步过渡到无密码认证为主流方式
    • 保留传统认证方式作为后备方案

六、总结

FIDO协议通过公钥加密技术和硬件安全环境,有效解决了传统密码体系的安全问题和用户体验问题。作为由行业巨头支持的国际标准,FIDO正在成为无密码认证的主流解决方案。尽管在设备普及度和认证方式上仍有限制,但在高安全需求场景下已具备成熟实施条件。随着技术发展和设备支持度提高,FIDO有望成为未来身份认证的基础设施。

FIDO无密码身份认证技术详解 一、密码认证体系存在的问题 根据FIDO联盟数据,密码认证体系存在以下严重问题: 安全问题 : 81%与黑客相关的违规行为由弱密码或被盗密码引起 51%的密码被重复使用 2022年4季度以来,恶意网络钓鱼电子邮件数量增加了1265% 用户体验问题 : 很多用户拥有超过90个在线账户,为方便管理使用相同密码 因忘记密码导致1/3的在线购物被放弃 运营成本问题 : 人工帮助重置一个密码平均消耗70美元的服务台人工成本 二、现有解决方案及其局限性 1. 多因子认证(MFA) 认证因子分类 : 秘密信息因子 :密码、PIN码、安全问题验证 物品因子 : 软件:短信/邮件验证码、软件OTP、认证器APP、第三方认证服务 硬件:身份证件、硬件OTP令牌、硬件加密狗 生物特征因子 :指纹、语音、面部特征、虹膜、视网膜图案、行为生物识别 位置因子 :特定位置、设备、IP范围 时间因子 :特定时间段 局限性 : 认证方式配置和使用繁琐 大多数互联网服务仅将MFA作为可选项 无法完全解决密码体系固有的问题 2. 无密码单因子认证 现有方案 : 短信验证码登录(存在安全性不高、通道堵塞等问题) 基于FIDO的无密码认证方案(新兴解决方案) 三、FIDO技术详解 1. FIDO联盟 全称:Fast IDentity Online联盟 目标:建立认证标准,减少对密码的依赖 会员包括:苹果、微软、Google、Paypal、VISA、MasterCard、RSA、三星、华为、联想、阿里巴巴等 2. FIDO规范体系 FIDO U2F(现称CTAP1) : 为现有密码系统添加第二因子 用户仍使用用户名密码登录,可选择性出示第二因子设备 允许简化密码(如4位PIN)而不影响安全性 FIDO UAF : 支持无密码体验 用户通过本地认证机制(指纹、面部识别等)注册设备 服务可选择向用户提供的认证机制 FIDO2 : 由两部分组成: WebAuthn :W3C标准web API,内置于浏览器和平台 CTAP : CTAP1:原FIDO U2F CTAP2:允许使用外部认证器(安全密钥、移动设备等)通过USB/NFC/BLE进行认证 3. FIDO工作原理 核心机制 : 使用标准公钥加密技术 为每个在线服务创建唯一的加密密钥对(称为Passkey) 设备保留私钥,服务注册公钥 无共享秘密,抵御网络钓鱼 注册流程 : 用户提交注册表单 服务端返回注册请求 浏览器调用创建密钥接口 系统平台通知认证器创建密钥 认证器本地认证用户后创建密钥 返回经私钥签名的公钥信息 服务端绑定公钥与用户 登录流程 : 服务端下发认证请求 认证器使用私钥对信息签名 服务端用注册公钥验证签名 四、FIDO技术的优缺点 优点 标准化 : 国际工业标准 统一后台服务可适配所有支持FIDO的智能终端 安全性 : 生物特征和私钥保存在硬件可信环境(不上传云端) 支持TEE或SE执行关键操作及安全存储秘钥 抵御网络钓鱼攻击 灵活性 : 支持多种生物识别方式 不同认证手段可共用同一身份认证后端 开放性 : 有开源的软件及硬件认证器实现 缺点 设备普及度 : 许多设备未内置FIDO认证器 需使用外置FIDO认证器 认证方式限制 : 规范未强制本地认证方式 部分认证器仅需按钮确认,无法防范近源攻击 五、实施建议 适用场景 : 高安全需求场景(如金融、政府服务) 企业内部身份认证系统 对用户体验要求高的消费级应用 实施条件 : 确保终端设备支持FIDO标准 选择适当的认证器类型(内置/外置) 评估生物识别认证的可行性 迁移策略 : 初期可作为密码认证的补充选项 逐步过渡到无密码认证为主流方式 保留传统认证方式作为后备方案 六、总结 FIDO协议通过公钥加密技术和硬件安全环境,有效解决了传统密码体系的安全问题和用户体验问题。作为由行业巨头支持的国际标准,FIDO正在成为无密码认证的主流解决方案。尽管在设备普及度和认证方式上仍有限制,但在高安全需求场景下已具备成熟实施条件。随着技术发展和设备支持度提高,FIDO有望成为未来身份认证的基础设施。