FIDO1 和 FIDO2
在了解 FIDO1 和 FIDO2 之前,我们先来简单理解一下 FIDO。
FIDO 的全称是 Fast IDentity Online,它是一个开放的行业联盟,旨在为用户提供更简单、更安全的在线身份验证方式。
FIDO 联盟的核心理念是:让用户不再需要复杂的密码,而是通过更安全、更便捷的方式(比如指纹、人脸识别或硬件密钥)登录各种在线服务。
FIDO1:U2F 和 UAF
FIDO1 实际上包含了两个协议:U2F 和 UAF。
U2F (Universal 2nd Factor):
顾名思义,它主要用于双因素认证。你可以把它想象成一个实体的小钥匙,比如一个 USB 设备(通常叫做 安全密钥)。
工作方式: 当你在登录某个网站时,首先输入你的用户名和密码,然后网站会要求你插入这个 USB 安全密钥并按下上面的按钮。
这个密钥会生成一个独特的加密签名,只有这个网站才能验证这个签名。
优点: 极大地增强了安全性,可以有效防御网络钓鱼攻击。因为即使黑客偷走了你的密码,没有这个实体密钥,他们也无法登录你的账户。
应用场景: 主要用于增强现有密码的安全性,作为额外的保护层。
UAF (Universal Authentication Framework):
这个协议的目标更进一步,它希望实现无密码认证。
工作方式: 网站不再需要你的密码,而是直接通过你的设备上的生物识别技术来验证你的身份。
比如,你登录一个手机银行应用,可以直接用指纹或者面部识别来完成认证,而不需要输入任何密码。
优点: 彻底摆脱了密码,用户体验更好,同时因为密码不再传输或存储在服务器上,安全性也更高。
应用场景: 主要用于替代密码,实现完全的无密码登录。
---------------------------------------------------
想象一下,没有 FIDO2 的世界
我们传统的登录方式就像这样:你来到一个网站(比如你的网上银行)。
网站问:“你是谁?”
你回答:“我是小明,我的密码是 P@ssword123。”
网站验证你的密码,然后让你进入。
这种方式的缺点是:你得记住密码,而且还得是复杂难记的密码。
密码可能会被偷。如果黑客通过网络钓鱼等手段骗取了你的密码,他们就能用你的身份登录。
FIDO2:让登录像“刷脸”一样简单
FIDO2 改变了这种方式,它的核心思想是:你的设备就是你的钥匙。这把钥匙是独一无二的,而且永远不会离开你的设备。
我们用一个登录网上银行的例子来解释 FIDO2 的工作原理。
1. 第一次“注册”:给你的设备配一把钥匙
当你第一次使用 FIDO2 登录网上银行时,网站会要求你“注册”你的设备(比如你的手机)。
你的手机会创建一个独一无二的钥匙(在技术上叫“公钥/私钥对”)。
手机会把这把钥匙的一半(公钥)给网上银行服务器,而把另一半(私钥)安全地藏在你的手机里,绝不外泄。
银行服务器保存了你的公钥,并知道“这个公钥是小明的手机给我的”。
这个过程就像是你去银行办理业务,银行给了你一张专属的“身份卡”(公钥),但真正的“指纹”(私钥)还在你手上,只有你才能用。
2. 每次登录:用“指纹”来开门
以后每次登录,流程就变得非常简单:
你来到网上银行的登录页面,输入你的用户名。
银行服务器会给你一个特殊的“暗号”。
你的手机收到这个暗号后,会用自己独有的“钥匙”(私钥)来对这个暗号进行“签名”。
然后,你的手机会要求你进行“指纹”、“人脸识别”或输入 PIN 码来确认是你本人在操作。
你通过验证后,手机把签名过的暗号发回给银行服务器。
银行服务器用它之前保存的你那把“身份卡”(公钥)来验证这个签名。由于只有你手机里藏着的那把“钥匙”(私钥)才能生成有效的签名,银行一看就知道:“没错,这就是小明本人!”
整个过程你都不需要输入密码。
FIDO2 的作用总结
WebAuthn (网页认证):
它是一个标准,让网站、浏览器和你的设备之间能“讲”同一种语言。它规定了“如何”请求认证、如何发送暗号、如何接收签名。
CTAP2 (客户端-认证器协议):
它是一个标准,让浏览器能和你的认证设备(比如手机、USB 安全密钥)进行通信。它负责把暗号从浏览器传给你的设备,再把签名从设备传回浏览器。
FIDO2 的应用就像是,你的设备(手机、电脑、U 盘)变成了一个安全的“保险箱”,里面藏着你的登录“钥匙”(私钥)。
每次登录,你只需要用“指纹”或“刷脸”来打开这个保险箱,取出“钥匙”,对网站发来的“暗号”签名,就能安全登录。
它的最大好处是:没有密码可以被偷,因为你的私钥从未离开过你的设备,也永远不会通过网络传输。这从根本上杜绝了大部分网络钓鱼和密码被盗的风险。
FIDO 的全称是 Fast IDentity Online,它是一个开放的行业联盟,旨在为用户提供更简单、更安全的在线身份验证方式。
FIDO 联盟的核心理念是:让用户不再需要复杂的密码,而是通过更安全、更便捷的方式(比如指纹、人脸识别或硬件密钥)登录各种在线服务。
FIDO1:U2F 和 UAF
FIDO1 实际上包含了两个协议:U2F 和 UAF。
U2F (Universal 2nd Factor):
顾名思义,它主要用于双因素认证。你可以把它想象成一个实体的小钥匙,比如一个 USB 设备(通常叫做 安全密钥)。
工作方式: 当你在登录某个网站时,首先输入你的用户名和密码,然后网站会要求你插入这个 USB 安全密钥并按下上面的按钮。
这个密钥会生成一个独特的加密签名,只有这个网站才能验证这个签名。
优点: 极大地增强了安全性,可以有效防御网络钓鱼攻击。因为即使黑客偷走了你的密码,没有这个实体密钥,他们也无法登录你的账户。
应用场景: 主要用于增强现有密码的安全性,作为额外的保护层。
UAF (Universal Authentication Framework):
这个协议的目标更进一步,它希望实现无密码认证。
工作方式: 网站不再需要你的密码,而是直接通过你的设备上的生物识别技术来验证你的身份。
比如,你登录一个手机银行应用,可以直接用指纹或者面部识别来完成认证,而不需要输入任何密码。
优点: 彻底摆脱了密码,用户体验更好,同时因为密码不再传输或存储在服务器上,安全性也更高。
应用场景: 主要用于替代密码,实现完全的无密码登录。
---------------------------------------------------
想象一下,没有 FIDO2 的世界
我们传统的登录方式就像这样:你来到一个网站(比如你的网上银行)。
网站问:“你是谁?”
你回答:“我是小明,我的密码是 P@ssword123。”
网站验证你的密码,然后让你进入。
这种方式的缺点是:你得记住密码,而且还得是复杂难记的密码。
密码可能会被偷。如果黑客通过网络钓鱼等手段骗取了你的密码,他们就能用你的身份登录。
FIDO2:让登录像“刷脸”一样简单
FIDO2 改变了这种方式,它的核心思想是:你的设备就是你的钥匙。这把钥匙是独一无二的,而且永远不会离开你的设备。
我们用一个登录网上银行的例子来解释 FIDO2 的工作原理。
1. 第一次“注册”:给你的设备配一把钥匙
当你第一次使用 FIDO2 登录网上银行时,网站会要求你“注册”你的设备(比如你的手机)。
你的手机会创建一个独一无二的钥匙(在技术上叫“公钥/私钥对”)。
手机会把这把钥匙的一半(公钥)给网上银行服务器,而把另一半(私钥)安全地藏在你的手机里,绝不外泄。
银行服务器保存了你的公钥,并知道“这个公钥是小明的手机给我的”。
这个过程就像是你去银行办理业务,银行给了你一张专属的“身份卡”(公钥),但真正的“指纹”(私钥)还在你手上,只有你才能用。
2. 每次登录:用“指纹”来开门
以后每次登录,流程就变得非常简单:
你来到网上银行的登录页面,输入你的用户名。
银行服务器会给你一个特殊的“暗号”。
你的手机收到这个暗号后,会用自己独有的“钥匙”(私钥)来对这个暗号进行“签名”。
然后,你的手机会要求你进行“指纹”、“人脸识别”或输入 PIN 码来确认是你本人在操作。
你通过验证后,手机把签名过的暗号发回给银行服务器。
银行服务器用它之前保存的你那把“身份卡”(公钥)来验证这个签名。由于只有你手机里藏着的那把“钥匙”(私钥)才能生成有效的签名,银行一看就知道:“没错,这就是小明本人!”
整个过程你都不需要输入密码。
FIDO2 的作用总结
WebAuthn (网页认证):
它是一个标准,让网站、浏览器和你的设备之间能“讲”同一种语言。它规定了“如何”请求认证、如何发送暗号、如何接收签名。
CTAP2 (客户端-认证器协议):
它是一个标准,让浏览器能和你的认证设备(比如手机、USB 安全密钥)进行通信。它负责把暗号从浏览器传给你的设备,再把签名从设备传回浏览器。
FIDO2 的应用就像是,你的设备(手机、电脑、U 盘)变成了一个安全的“保险箱”,里面藏着你的登录“钥匙”(私钥)。
每次登录,你只需要用“指纹”或“刷脸”来打开这个保险箱,取出“钥匙”,对网站发来的“暗号”签名,就能安全登录。
它的最大好处是:没有密码可以被偷,因为你的私钥从未离开过你的设备,也永远不会通过网络传输。这从根本上杜绝了大部分网络钓鱼和密码被盗的风险。
浙公网安备 33010602011771号