FIDO杂记

最新推荐文章于 2024-05-13 15:33:08 发布
最新推荐文章于 2024-05-13 15:33:08 发布
阅读量844 收藏 2
点赞数
分类专栏: 笔记 文章标签: 网络安全 web安全 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39896629/article/details/129039097
版权
这个世界正深受口令所带来的隐患和困扰。这些可能的危害已经显而易见。
——FIDO联盟执行理事 Brett McDowell

通过标准Web API——WebAuthn,Web应用开发者可以轻松调用FIDO基于生物特征、安全、快速的在线身份认证服务

关键词语句

免密认证

基于WebAuthn标准的FIDO2客户端能力

4

FIDO2注册

应用程序集成FIDO2客户端SDK,向FIDO服务器发起注册请求。

5

FIDO2认证

应用程序集成FIDO2 SDK,并向FIDO服务器发起认证请求。

FIDO2线上快速身份验证客户端:

  • USB、NFC、蓝牙漫游认证器。

  • 指纹和3D面容的平台认证器。

FIDO是什么?

FIDO全称为Fast Identity Online,是一套身份认证框架协议。它由FIDO联盟推出并持续维护。FIDO规范定义了一套在线身份认证的技术架构,FIDO2是FIDO系列规范的第2版。

2019年正式发布的FIDO2包含CTAP(Client to Authenticator Protocols)和W3C WebAuthn两部分,是1.x版本的演进,向后兼容1.x版本。

  • CTAP:允许通过USB、NFC或BLE使用外部身份验证器(比如FIDO安全密钥,移动设备)在启用FIDO2的浏览器和操作系统上进行身份验证,以提供无密码、二次身份验证或多重身份验证体验。

  • W3C WebAuthn:定义了内置在浏览器和平台中的标准Web API,以支持FIDO身份验证

FIDO2规范

FIDO2的组件

FIDO2包括3个组件:FIDO2认证器、FIDO2客户端和FIDO2服务器。

  • FIDO2认证器:用来进行本地认证的机制或设备,又分为FIDO2平台认证器和FIDO2漫游认证器两种。在面向最终用户时,认证器通常被称为安全密钥。

  • FIDO2平台认证器:集成在使用FIDO2的设备上的认证器,比如手机或笔记本电脑上的指纹认证器。

  • FIDO2漫游认证器:游离于使用FIDO2的设备,通过蓝牙、NFC或USB连接的认证器,比如形状类似于U盾或动态令牌的认证器。

  • FIDO2客户端:集成在平台(如Windows、MacOS和HMS Core)中,提供SDK给应用集成;或集成在浏览器中(如Chrome、Firefox和华为浏览器),提供JavaScript API给服务集成。FIDO2客户端是应用调用FIDO2服务器和FIDO2认证器完成认证的桥梁。

  • FIDO2服务器:在应用服务器需要发起FIDO2认证时,生成符合FIDO2规范的认证请求,发送给应用服务器;并在FIDO2认证器完成本地认证后,接收应用服务器返回的FIDO2认证响应,并进行校验。

目前流行的身份认证方式的问题

传统静态密码认证存在的安全问题:

  • 通过黑客技术盗取用户帐号密码,如:拖库、钓鱼、木马、暴力破解等。

  • 撞库:利用大多数人在所有服务使用同一套帐号密码的特点,使用已经获得的帐号密码尝试登录其他服务。

动态认证方式存在的安全问题:

  • 恶意应用可以读取短信验证码,在用户不知情的情况下进行盗刷。

  • 动态令牌、U盾在各个机构间不通用,用户需要持有多个硬件设备。

生物特征认证存在的安全问题:

  • 生物特征独一无二,被采集到服务端,无法像密码一样更改,泄露后果严重。

  • 只在移动端(手机和部分笔记本电脑)普及,桌面端基本无法使用。

华为HMS core的FIDO2客户端

  1. 应用程序集成FIDO2客户端SDK,向FIDO服务器发起注册请求。

  1. FIDO服务器将随机生成挑战值返回给应用程序,应用程序将挑战值发给FIDO客户端,FIDO客户端连接认证器,发起注册。

  1. 认证器验证通过,生成一对用户公私钥,并将私钥保存在本地。然后用其预置的私钥将生成的公钥及挑战值进行签名。

  1. 认证器返回签名给FIDO客户端,FIDO客户端返回给应用程序。应用程序发给FIDO服务器进行注册。

  1. FIDO服务验证签名,保存公钥,并将处理结果返回给应用程序。

传统的身份认证方式(密码,生物特征)的缺点:

几乎都要通过用户和服务器两侧的凭证匹配来完成。数据易于泄露,用户难以信任提供服务的企业,即使是著名的大的企业。

FIDO试图解决这些问题。

FIDO

与传统密码方式的不同点:

  • 只在本地的可信执行环境(TEE)中存储用户的生物特征信息

FIDO2.0体系架构

FIDO2分为WebAuthn和CTAP协议两部分:

  • Web Authentication(https://www.w3.org/TR/webauthn/)由W3C和FIDO联盟一起完成的标准制定,目前仅在Win10和安卓系统下,有三款主流浏览器Chrome、Edge、Firefox提供原生支持,可使用平台认证器(即内置在PC上)或漫游认证器(如手机,平板,智能手表等),通过WebAuthn接口调用FIDO服务,完成Web应用的强身份认证。

  • CTAP(客户端到认证器)协议。CTAP本质上是U2F的延伸。通过使用独立的手机、USB设备,或PC内置的平台认证器,完成Window 10系统上的身份认证。苹果也有类似的场景。比如没有指纹模组的MacBook,可以通过同一Apple ID使用iPhone完成macOS上App Store中应用的购买和支付确认操作。这也可以应用于Windows 10系统,如企业内部OA登陆的身份认证操作,就可以通过蓝牙连接的手机或其它合法的USB漫游身份认证器实现。也就是说,只要你随身携带你的手机或一个可作为漫游身份认证器的USB鼠标,你就可以在世界上任何一台联网的Win 10 PC上,使用指纹或其它生物特征,安全、便捷地完成企业内部办公系统登陆时的身份认证操作。

平沙落雁子
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python-fido2:提供FIDO 2.0的库功能,包括通过USB与设备进行通信
03-17
python-fido2 提供用于通过USB与FIDO设备通信以及验证证明和断言签名的库功能。 警告 该项目处于测试阶段。 期望事情随时改变或破坏! 警告 0.9版是该库的最后一个计划版本,它将支持Python2。下一个计划的主要版本是1.0,它将需要Python 3或更高版本。 该库旨在支持FIDO U2F和FIDO 2.0协议,以通过客户端到身份验证器协议(CTAP 1和2)与USB身份验证器进行通信。 除了这种低级别的设备访问之外,在fido2.client和fido2.server模块中定义的类fido2.server实现了更高级别的操作,这些功能在与Authenticator接口或实现对依赖方的WebAuthn支持时非常有用。 有关用法,请参见examples/目录。 参考 这些与WebAuthn和FIDO2相关的链接可以帮助您入门: Yubico WebAuthn
FIDO标准规范1.0
11-09
版本 v1.1 FIDO UAF协议中文文档。 现在FIDO UAF有关的文章还比较少,这主要是文档翻译和UAF系统概要介绍。
保护身份安全FIDO2认证在钓鱼攻击中的应用
最新发布
运维有小邓
05-13 734
点击这里了解更多关于ADSelfService Plus的FIDO2 MFA功能以及为什么它是您组织的理想选择。您也可以下载一个免费的30天试用来探索FIDO2 MFA。要逐步了解如何使用ADSelfService Plus的FIDO2 MFA,请立即安排一个免费的个性化演示,与我们的解决方案专家一起。
FIDO-UAF协议
12-30
FIDO-UAF协议官方文档,FIDO协议是目前国际范围内最火的统一认证协议
了解FIDO2WebAuthn 和 CTAP
月来better
02-27 1173
让世界超越密码 FIDO2FIDO 联盟最新规范集的总称。FIDO2 使用户能够利用通用设备轻松地在移动和桌面环境中对在线服务进行身份验证。FIDO2 规范是万维网联盟 (W3C) 的Web 身份验证 (WebAuthn) 规范和 FIDO 联盟的相应客户端到身份验证器协议 (CTAP)。 fido地址:https://fidoalliance.org/ ...
探秘Virtual FIDO安全认证的新里程
gitblog_00069的博客
04-09 348
探秘Virtual FIDO安全认证的新里程 项目地址:https://gitcode.com/bulwarkid/virtual-fido网络安全日益重要的今天,身份验证已经成为一项核心任务。Virtual FIDO是一个创新的开源项目,旨在为用户提供简单而强大的基于FIDO2标准的安全认证解决方案。本文将深入探讨该项目的技术原理、应用场景及其独特优点,希望能吸引更多的开发者和用户加入其...
fido2:开源FIDO服务器,具有FIDO2标准。 https
03-27
StrongKey FIDO服务器(SKFS),社区版 自述文件 概述 经FIDO(R)认证的StrongKey FIDO服务器(SKFS),社区版是一个开放源代码解决方案,适用于希望为任何应用程序使用无密码FIDO2登录名的DIY编码人员。 下载代码并将其与您自己的Web登录集成,或研究OpenAPI文档并贡献自己的代码提交。 以下链接提供了FIDOFIDO联盟和FIDO2的一些背景知识: 安装 按照下载SKFS,并使它作为独立服务器运行。 按照下载SKFS并使它作为集群运行。 升级 按照将您当前的SKFS版本升级到最新版本。 样例应用 示例代码提供了每个示例的简要说明: Java样本 :演示FIDO2注册和身份验证的基本Java应用程序 :基本的Java示例应用程序 :概念验证(PoC)Java应用程序 :支持FIDO的示例应用程序演示SSO :启用FIDO的示例And
一文读懂华为FIDO2指纹/3D 面容登录技术
weixin_41576560的博客
03-24 203
一文读懂华为FIDO2指纹/3D 面容登录技术 - 华为开发者论坛 - 博客园 (cnblogs.com)
FIDO2入门以及相关概念 Client to Authenticator Protocol
Liwo4418的博客
02-20 1464
FIDO(Fast Identity Online)是一组开放标准和协议,旨在提供更强大、更安全的身份验证方法,以替代传统的用户名和密码登录。FIDO 的目标是通过使用公钥密码学和生物识别技术来提高用户身份验证的安全性,并减少对传统密码的依赖。
LWN:在网页应用之外使用FIDO2 无密码认证!
Linux News搬运工
03-08 967
关注了就能看到更多这么棒的文章哦~Passwordless authentication with FIDO2—beyond just the webFebruary 21, 2023This article was contributed by Koen VervloesemFOSDEMChatGPT assisted translationhttps://lwn.net/Articles/92...
cpp-Solo是一款经济实惠的安全密钥可实现FIDO2U2F并支持USBNFC和扩展
08-16
Solo是一款经济实惠的安全密钥,可实现FIDO2 / U2F并支持USB,NFC和扩展。 扩展包括SSH,GPG和加密货币。
android-fido2-authenticator:Android中的Fido2验证器实现-与NFC和BLE兼容
02-15
Android FIDO2身份验证器 FIDO2身份验证器仍然很新颖:它们并不便宜,只能存储很少数量的持久密钥(对于单因素是必需的),具有简约的用户界面,并且大多数情况下不会通过生物识别/引脚进行加固。 Android具有出色的FIDO2身份验证器的所有硬件功能。 该项目旨在通过BLE和NFC实施CTAP2。 参考
Solo:开放安全密钥,通过USB + NFC支持FIDO2和U2F-C/C++开发
05-26
Solo Solo是一个开源安全密钥,您可以在solokeys.com上获得一个。 Solo支持FIDO2和U2F标准,以实现强大的两因素身份验证和无密码登录,并且可以保护您免受网络钓鱼的侵害。Solo Solo是一种开源安全密钥,您可以在solokeys.com上获得。 Solo支持FIDO2和U2F标准,以实现强大的两因素身份验证和无密码登录,并且可以保护您免受网络钓鱼和其他在线攻击。 我们希望通过彩色外壳和多语言指南来使安全登录更加人性化,并让全球每个人都可以使用。 此存储库包含Solo固件,包括通过USB和NFC实现的FIDO2和U2F(CTAP2和CTAP)。 这
libfido2:提供FIDO 2.0的库功能,包括通过USB与设备通信
02-17
libfido2 libfido2提供了库功能和命令行工具,可通过USB与FIDO设备进行通信,并验证证明和断言签名。 libfido2支持FIDO U2F(CTAP 1)和FIDO 2.0(CT​​AP 2)协议。 有关用法,请参见examples/目录。 执照 libfido2已获得BSD 2条款许可。 有关完整的许可证文本,请参阅LICENSE文件。 支持平台 已知libfido2可在Linux,MacOS,Windows,OpenBSD和FreeBSD上运行。 在Linux上,可在git HEAD中获得实验性NFC支持。 文献资料 提供troff和HTML格式的文档。 也可以使用的。 绑定 .NET: 前往: Perl: 锈: 安装 发布 libfido2的当前版本是1.6.0。 请查阅Yubico的以获取源代码和二进制版本。 Ubuntu 20.
FIDO ATTESTATION
02-20
本文对FIDO UAF的证实进行了说明,介绍了证实模型类型,证实语句(包括),包括封装、tpm和Android三种情况下的数据结构定义及证实验证流程和安全考虑。
Fido UAF接口文档
02-25
Fido-UAF接口文档说明,包括注册接口、注册响应接口、鉴别请求接口、鉴别响应接口、注销请求接口
FIDO UAF ASM 接口文档
02-27
本文主要说明的FIDO UAF框架中ASM 的API。
FIDO框架分析2(FIDO UAF服务器)
qq_35161159的博客
02-18 2687
FIDO UAF服务器   fidouaf  github地址: https://github.com/eBay/UAF/tree/master/fidouaf FIDO UAF演示服务器通过使用github上面分析的UAF Core的代码实现了可以实际运行和使用的服务器。它是用Java编写的,我使用SUN的Jersey服务器框架创建了一个服务器。依赖关系如下:除了使用GSON之外,演示服务...
fido stm32
08-23
Fido STM32是一种基于STM32系列MCU的嵌入式开发板。STM32系列是STMicroelectronics(意法半导体)公司推出的32位ARM Cortex-M内核的微控制器系列,具有高性能、低功耗和丰富的外设接口。而Fido STM32则是针对STM32系列MCU的特定开发板,为开发人员提供了一个方便、易于使用的平台。 Fido STM32开发板的主要特点包括: 1. 强大的处理能力:采用32位ARM Cortex-M内核,具有高频率和大容量的存储器,可以处理复杂的任务和算法。 2. 丰富的外设接口:支持多种通信接口,如UART、SPI、I2C等,能够与其他外部设备进行通信和交互。 3. 硬件支持:板载了各种常用外设,如LED指示灯、按钮、蜂鸣器等,方便开发人员进行原型设计和功能验证。 4. 开发环境友好:Fido STM32可以与常用的集成开发环境(IDE)集成,如Keil、IAR等,方便开发人员编写、调试和测试代码。 5. 应用广泛:由于STM32系列广泛应用于工业控制、物联网、消费电子等领域,因此Fido STM32可用于多种应用开发,如嵌入式系统、自动化控制、物联网设备等。 总之,Fido STM32是一款功能强大的嵌入式开发板,能够满足开发人员在STM32系列MCU上进行应用开发的需求,具有广泛的应用领域和灵活的开发环境。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值