背景
FIDO联盟的任务就是改造线上强认证的内在本质:
1.开发和定义出开放的、可扩展的、可互操作的技术机制规范
来取代用户基于密码的线上安全认证服务;
2.操作行业项目,以确保全球成功采用规范;
3.向公认的标准开发组织提交成熟的技术规范以进行正式标准化;
推动FIDO联盟努力的核心理念是:
1)简单实用
2)隐私保护和安全
3)标准化
主要的目标是让线上的服务以及网站,当然无论是开放的互联网中还是在企业内部中,利用原生的用户计算机设备的安全特性来作为用户的强认证方式去减少记忆当时创建的许多在线凭证的相关问题。
FIDO协议中包含有两个关键的协议框架,这两套不同的框架根据不同场景中的互联网服务操作流程提供了两种不同的使用体验方式。
Universal 2nd Factor (U2F) 协议--双因子认证协议
U2F协议允许线上服务在用户登录时在原来已设置的密码基础上增加一个强认证因子。用户登录还是使用帐户名和密码还是和之前一样。这个线上服务可以提示用户选择在登录或其他操作的时候提供第二因子的验证设备。有了这个强认证因子,那么线上服务在不影响安全的情况下使用简单的密码就可以了。
在注册和验证的过程中,用户只要简单在的第二因子的验证设备按一下按钮或者近距离接触一下NFC即可。用户可以使用FIDO U2F设备利用浏览器的内置支持在所有支持此协议的线上服务上使用。
此文档即U2F协议概述文档。
Universal Authentication Framework (UAF) --统一认证协议
UAF协议允许在线服务提供无密码和多因素安全认证方式。用户在线上服务中注册它们设备使用本地的认证机制,比如刷一下指纹,看一下摄像头,对这个麦克风说句话,输入一个PIN码等。UAF协议允许服务选择用户提供的验证机制。
当用户注册成功后,用户在进行线上服务认证是只要重复一下本地的认证动作即可。用户不需要输入密码了。UAF也允许不同的本地认证机制的合并使用,比如指纹+PIN码一起。
关于UAF的协议相关内容请参考FIDO官网的说明和文档。