什么是 FIDO 联盟？

快速身份实体在线（FIDO）联盟是一个全球跨行业联盟，成立于 2012 年，旨在通过开放、互操作的认证标准减少对密码的依赖。FIDO 联盟旨在应对日益复杂的网络威胁及传统基于密码认证的固有弱点，简化组织及其用户的安全登录体验。

FIDO 联盟汇聚包括 Google、Microsoft、Apple、Amazon 等领先的技术、金融和服务提供商，共同开发通用的抗钓鱼认证标准，提升各行业的安全性与可用性。

FIDO 联盟的宗旨

FIDO 联盟的主要宗旨在于消除密码，推动更安全、用户友好的认证方式。它通过开发 FIDO2 和 WebAuthn 等开放标准实现这一目标，允许用户使用生物识别、硬件安全密钥或设备凭证进行认证，而非密码。对于组织而言，采用 FIDO 标准可提升用户信任、简化身份管理，并支持遵循主要数据保护和安全框架。

FIDO 协议的类型

FIDO 联盟创建了多个开放认证协议，旨在提升数字身份验证的安全性、可扩展性与效率。每种协议均为不同认证场景提供灵活性。

FIDO2

FIDO2 是采用最广泛的 FIDO 标准，基于 WebAuthn（Web Authentication API）和客户端到身份验证器协议（CTAP）构建。这些技术结合，使用户可通过生物识别、PIN 码或硬件安全密钥，在浏览器与设备间实现无密码且抗钓鱼的认证。

FIDO2 由 Windows、macOS、Android、iOS 和 Chrome 等主流平台支持，帮助组织提升安全性、改善用户体验，并防范网络钓鱼及凭证盗窃。

通用身份验证框架 (UAF)

通用身份认证框架（UAF）是最早的 FIDO 协议之一，通过允许用户在设备本地使用生物识别验证身份，实现完全无密码认证。一旦通过指纹或面部识别验证，设备会生成独特的加密签名，安全确认用户身份，无需在线传输任何生物识别数据或凭证。

UAF 专为移动优先认证设计，提供无缝、安全的登录体验，非常适合智能手机和移动应用。这种方式旨在提升用户便利性与数据保护，对于提供高信任服务（如移动银行）的组织尤为重要。

通用第二因素 (U2F)

通用第二因素（U2F）是一种传统认证标准，引入硬件安全密钥作为强二次认证因素。使用 U2F，用户通过点击或插入物理安全密钥进行登录验证，为防钓鱼和凭证盗窃提供加密安全保护。

U2F 为现代无密码认证奠定了基础，但随着 FIDO2 和 WebAuthn 标准的兴起，它已逐渐过时。U2F 仍用于向后兼容，但新部署通常应采用基于 FIDO2 的多因素认证 (MFA)。

FIDO 认证工作原理

FIDO 认证使用强加密技术，提供安全、无密码的登录体验。FIDO 认证的主要原理如下：

公钥密码学： 注册服务时，每个设备都会生成独一无二的公钥与私钥对。私钥安全存储在用户设备上，而公钥存储于服务器中——无需在线传输凭证。
生物识别身份验证： 用户通过本地生物识别进行身份验证，确保没有生物识别数据或凭证流出设备。
硬件安全密钥： 私钥存储在可信硬件安全密钥中，可防止钓鱼攻击和凭证盗窃。
现代标准： FIDO2 和 WebAuthn 标准支持跨浏览器及操作系统的无缝无密码认证。用户可通过触控、注视或安全密钥安全登录，简化访问流程，同时保持高安全性。

FIDO 标准的优势

FIDO 认证标准提供现代化、可扩展的认证方式，提升个人与企业的安全性和隐私保护。主要优势包括：

消除密码漏洞： 用密码学密钥对替代传统密码，消除弱密码或重复使用密码的风险。
防御网络钓鱼攻击： 私钥永远不会离开用户设备，也不会被截获，将网络钓鱼或中间人 (MITM) 攻击的风险降至最低。
保护用户隐私： 用于认证的生物识别数据存储在用户设备本地，确保隐私并符合数据保护标准。
支持数据隐私合规： FIDO 认证符合全球框架，帮助组织降低数据泄露风险。