FIDO2是FIDO联盟最新的规范集,它使用户能够在移动和桌面环境中轻松地对在线服务进行身份验证。FIDO2规范由万维网联盟(W3C)的Web身份验证(WebAuthn)规范和FIDO联盟的客户端到身份验证器协议(CTAP)组成[1]。
FIDO2的目标是让世界超越密码,提供一种更安全、更便捷的身份验证方法。它的实现依赖于以下几个关键组件:
- WebAuthn:WebAuthn是FIDO2的一部分,它是一种使用JavaScript提供的API,用于与身份验证设备进行交互。Web服务开发人员可以通过实施WebAuthn标准,使浏览器能够与身份验证设备进行通信[2]。
- CTAP:CTAP是客户端到身份验证器协议,它定义了浏览器和身份验证器之间的通信协议。CTAP允许浏览器向身份验证器发送请求,并接收来自身份验证器的响应。这样,浏览器可以与用户的身份验证设备进行交互,完成身份验证过程[2]。
- 身份验证器:身份验证器是用于进行身份验证的设备,例如USB密钥、智能手机或计算机的可信平台模块(TPM)。这些设备保存用户的密钥,并在与服务交互时使用它们。身份验证器可以通过CTAP协议与浏览器进行通信,完成身份验证过程[3]。
FIDO2的工作流程如下:
- 用户登录服务:用户使用用户名和密码登录Web服务。
- 选择FIDO2身份验证:用户选择使用FIDO2进行身份验证,而不是传统的用户名和密码。
- 与身份验证器交互:浏览器通过WebAuthn API与用户的身份验证器进行交互,向其发送请求并接收响应。
- 完成身份验证:身份验证器使用保存的密钥对用户进行身份验证,并将结果发送回浏览器。
- 访问服务:如果身份验证成功,用户将获得访问服务的权限。
FIDO2的优点和缺点:
优点:
- 更安全:FIDO2使用公钥加密技术,用户的私钥保存在身份验证器中,不会被泄露。这比传统的用户名和密码更安全。
- 更便捷:用户只需使用身份验证器进行一次注册,以后就可以通过简单的身份验证过程访问多个服务,无需记住多个密码。
- 跨平台支持:FIDO2可以在移动和桌面环境中使用,支持多种设备和操作系统。
缺点:
- 设备依赖性:FIDO2需要用户拥有兼容的身份验证器设备,如果用户没有这样的设备,就无法使用FIDO2进行身份验证。
- 依赖网络:FIDO2需要与Web服务进行通信,因此需要网络连接。如果网络不可用,用户无法进行身份验证。
总结:
FIDO2是一种新的身份验证方法,它通过结合WebAuthn和CTAP规范,使用户能够在移动和桌面环境中轻松地对在线服务进行身份验证。FIDO2提供了更安全、更便捷的身份验证方式,但需要用户拥有兼容的身份验证器设备和网络连接。
Learn more: