连接安全与变革
股票代码:831194

共享 共赢

新闻

技术干货 | FIDO认证
来源:派拉集团时间:29/4/2019浏览量:

FIDO认证简介

传统的账号认证方式,不管是静态密码、证书、动态令牌,都需要 把用户持有的凭证传输到服务端进行验证,就会存 在各种各样的风险来伪造用户凭证来进行攻击。

根据LastPass的统计,平均每 个企业用户需要管理191个账户密码!而Pew Research的统计表明,很少有 人使用密码管理器,在2017年只有12%的受访 者使用密码管理器,甚至还有49%的受访 者把密码写在纸上。难怪Verizon在《2018年数据泄露调查报告》指出,81.1%的数据 泄露事件都是由密码泄漏引起的。

为提高账户的安全性,对认证 的安全方式经过三次进化:


静 态 密 码 认 证


我们与 计算机密码之间有着难以言说的爱/恨关系。安全行业有一个共识:密码终将会消失。但是从 目前的情况来看,密码的寿命还会很长,甚至在 数量上还有越来越多的趋势。

静态密 码是由用户自己设定的,一些人为图方便记忆,将密码 设置为生日或是纯数字,结果遭 遇不法分子的轻松破解。


接下来 看一下静态密码的缺点:

1)静态密 码的易用性和安全性互相排斥,两者不能兼顾,简单容 易记忆的密码安全性弱,复杂的 静态密码安全性高但是不易记忆和维护;

2)静态密码安全性低,容易遭 受各种形式的安全攻击;

3)静态密 码的风险成本高,一旦泄 密将可能造成最大程度的损失,而且在发生损失以前,通常不 知道静态密码已经泄密;

4)静态密 码的使用和维护不便,特别一 个用户有几个甚至十几个静态密码需要使用和维护时,静态密 码遗忘及遗忘以后所进行的挂失、重置等 操作通常需要花费不少的时间和精力,非常影 响正常的使用感受。

事实上 静态密码已经无法满足我们的安全需求,所以想 要保障自己的信息安全还是另寻他路吧!

安 全 设 备 认 证



为了进 一步提高账户安全性,双因素 身份认证问世了。最普遍的2FA方式就是短信验证码、OTP动态令牌、基于USBKey的CA认证等等。

1)短信验 证码依赖信任手机和SIM卡以及运营商基站,手机和SIM可能丢失或被盗,基站存在被伪造,甚至通过钓鱼网站、中间人 攻击等手段获取用户正确的验证码,安全性大打折扣;

2)OTP动态令牌,UsbKey CA证书使 用独立硬件作为身份认证的入口,要随身 带硬件设备并且依赖负责的后端服务器来管理,成本非 常大使用很不方便;没有标 准各个厂商各自维护自有协议。

生 物 特 征 认 证


为了账 户的安全性和便捷性同时得到保障,使用人 体特有的生物特征作为验证手段是非常有吸引力的,随着计 算机算法的发展生物特征识别的准确率越来越精确,而生物 识别的硬件设备也越来越便宜高效,大部分 手机厂商已经内置了丰富的生物识别设备,使得生 物特征认证越来越受到欢迎。

目前的 一个趋势是采用即插即用的本地身份认证,用户的隐私、生物特 征信息及其产生的私钥保存在可信设备手机之中,具有更好的安全性、便捷性、适配性 以及隐私保护性。

FIDO(Fast IDentity Online)

在线快 速身份验证联盟立于2012年,它的目 标是创建一套开放、可扩展的标准协议,支持对Web应用的 非密码安全认证,消除或 减弱用户对密码的依赖。

它主要 是通过两个标准协议来实现安全登录(验证):

无密码的UAF(Universal Authentication Framework)

1)用户携带含有UAF的客户设备(通常手机或pc就已内置有采集设备);

2)用户出 示一个本地的生物识别特征(指纹、人脸、声纹);

3)网站可 以选择是否保存密码;

用户选 择一个本地的认证方案(例如按一下指纹、看一下摄像头、对麦克说话,输入一个PIN等)把他的 设备注册到在线服务上去。只需要一次注册,之后用 户再需要去认证时,就可以 简单的重复一个认证动作即可。用户在 进行身份认证时,不在需 要输入他们的密码了,UAF也允许 组合多种认证方案,比如指纹+PIN。

UAF适用于典型的2C业务场景,基于手机、平板、智能手 表内置的生物识别设备进行验证无需增加其他设备。



第二因子的U2F(Universal Second Factor(U2F) protocal)

1)用户携带U2F设备,浏览器支持这个设备

2)用户出示U2F设备,浏览器读取设备证书

3)网站可 以使用简单的密码(比如4个数字的PIN)


U2F是在现有的用户名+密码认证的基础之上,增加一 个更安全的认证因子用于登录认证。

用户可 以像以前一样通过用户名和密码登录服务,服务会 提示用户出示一个第二因子设备来进行认证。U2F可以使用简单的密码(比如4个数字的PIN)而不牺牲安全性。U2F出示第 二因子的形式一般是按一下USB设备上 的按键或者放入NFC。

U2F适用于典型的2B业务场景,基本PC用户的使用场景,企业可 以为内部人员配备专业的FIDO设备硬 件用于应用系统的登录认证。


无 密 码 登 录


2019年3月4日万维网联盟(W3C)宣布:Web身份验证API(WebAuthn)现在已成为官方Web标准。

WebAuthn于2015年11月由W3C和Fido联盟宣布,现已成 为网上无密码登录的开放标准。它由W3C贡献者支持,包括Airbnb、阿里巴巴、苹果、谷歌、IBM、英特尔、微软、Mozilla、PayPal、软银、腾讯和Yubico。

该规范 允许用户使用生物特征、移动设备或FIDO安全密 钥登录在线帐户。Android和Windows10已经支持WebAuthn。在浏览器方面,谷歌Chrome、Mozilla Firefox和微软Edge浏览器 去年都开始支持WebAuthn。

自去年12月以来,苹果就在Safari的预览版中支持WebAuthn。

身 份 协 议 栈



FIDO认证在 整个身份协议栈位于身份鉴别层,派拉软件ESC产品结合FIDO和基于AI行为分析技术,整个用 户登录过程如下:

a.用户登录,通过浏览器获取手机APP,收集客户端信息、设备指纹、上下文、地理位置等信息,提交到到服务端

b.服务端根据AI及大数据算法模型,对客户 端信息进行分析计算风险值,并根据 不同的风险等级,让客户 端采用不同安全等级的认证方式

c.客户端 收到认证请求后采用FIDO或其他 认证提交认证凭据

d.服务端验证通过,给客户端颁发Token

总    结


不管是2C还是2B应用系 统会越来越多种多样,人们已 经无法记住那么多系统的密码,安全可 靠的无密码登录技术会是未来的趋势;FIDO相关国际标准的发布,FIDO联盟越 来越多的互联网巨头的加入,FIDO将会在 更多的项目产品中落地;

身份认 证及安全登录相关产品在中国未来的趋势

国家政 策和相关标准陆续出台,逐步规 范身份认证行业;

金融、政务、互联网、制造业 等相关领域对统一身份管理和安全认证需求及技术要求越来越高;

国内互 联网行业身份认证领域壁垒重重,坚持统 一的身份认证规范和标准,打破壁 垒才能实现开放共赢;

在互联网时代下,个人隐 私的保护和合规使用,特别是 生物特征数据的敏感性对身份认证技术提出更高的要求,派拉软件融合FIDO和各种 安全认证技术都可以充分的满足新时代的要求。

小 贴 士

派拉软 件在统一身份管理系统中紧跟技术前沿,集成FIDO2协议以及AI行为分析模型,在保证 用户身份和设备安全的同时可以进行无密码登录,使得账 户的安全性和便捷性同时得到保障!




返回列表

相关推荐

让我们了解您的需求

© 2018 Paraview Software. All rights reserved.

服务热线:400-6655-745
企业邮箱:para@
友情链接:      涓冧箰褰╃エ瀹樼綉