关于FIDO2 iOS和Android标准IT需要知道的事情
FIDO2标准可以帮助组织实现无密码化,但IT部门应该了解应用程序或网站如何通过网络认证API提供这种可能性。
使用FIDO2标准,组织可以为桌面、移动设备、web浏览器和其他应用程序和服务的用户提供更安全的身份验证过程。
采用快速在线身份识别2 (FIDO2)标准的组织将允许用户依赖无密码认证对于大多数与帐户的日常交互,或使用第二个身份验证因素提高安全级别。
随着越来越多的供应商采用FIDO2 iOS和Android标准,IT专业人士应该明白是什么菲多及其标准在移动设备上的工作原理。
什么是FIDO?
在大多数情况下,用户需要在各种账户的用户名旁边加上密码,但FIDO的标准消除了在许多日常情况下使用密码的需要。相反,这些标准允许使用更强大的因素,如生物识别和硬件安全密钥。
FIDO联盟是一个由Nok Nok Labs、微软和许多其他供应商组成的协会,于2014年制定了FIDO标准。最新版本的FIDO2于2018年全面上市。
FIDO2由两个组件组成:WebAuthn (API)和Client to Authenticator Protocol (CTAP)。的WebAuthn API使浏览器和应用程序支持FIDO,而CTAP允许通用双因素设备与浏览器和应用程序交互。
最初,FIDO提供了使用多因素身份验证的能力,但通过FIDO2的CTAP2组件,组织现在可以为其用户提供无密码体验,并与外部身份验证器和安全密钥(如Yubico YubiKey)连接。
FIDO2允许IT在网络上使用公共加密技术(包括公钥和私钥),但只将公钥发送到验证服务器。私钥保留在移动设备或硬件密钥本身上。
在iOS和Android移动设备上使用FIDO2
虽然iOS和Android都支持FIDO2,但Android在2019年初首次证明了对FIDO2的支持。然而,苹果公司却不慌不忙,直到2020年2月才加入FIDO联盟。所有主要的移动浏览器——谷歌Chrome、苹果Safari和Mozilla Firefox等——都支持FIDO2,最新的Safari将在2019年底正式获得支持。
与最初的FIDO标准相比,使用和部署FIDO2 iOS和Android标准的方法通常保持不变。这些设备使用硬件安全密钥来验证应用程序和网站。这可以通过USB、近场通信(NFC)或低功耗蓝牙实现。
IT专业人员(或用户)将不得不设置他们希望使用此功能的任何帐户,要么接受硬件密钥作为台式机和笔记本电脑的默认辅助身份验证,要么作为唯一的身份验证方法。然而,并不是所有的应用程序和网站都支持FIDO2 iOS和Android标准作为本文发布时的唯一认证方法。
谷歌更进一步,在所有运行Android 7+的设备上添加了FIDO2功能,当用户验证谷歌帐户时,设备本身就作为安全密钥。
谷歌更进一步,在所有设备上都添加了FIDO2功能运行Android 7+的设备,当用户验证谷歌帐户时,这些设备本身就作为安全密钥。这允许用户使用生物识别技术进行身份验证,而不是依赖于单独的安全密钥。谷歌也有自己的硬件密钥,用户可以购买,但它们只是白色标签的飞天密钥。
苹果不慌不忙认证FIDO2 iOS支持。2019年12月,iOS 13.3在原生Safari移动浏览器中添加了NFC功能。该供应商随后于2月加入了FIDO联盟。苹果花了很长时间,以至于销售基于fido的安全密钥的供应商Yubico介入并设计了YubiKey 5Ci,其特点是使用Lightning连接器与iphone连接,以及USB-C型号用于较新的macOS笔记本电脑。从iOS 13.3开始,用户不必使用这个特定的YubiKey,因为安全密钥现在也可以通过蓝牙低能耗和NFC与iOS一起使用。
FIDO2可以在iOS和Android移动设备上运行,但IT专业人士或用户只需要这样做就可以了启用每个应用程序的功能以及他们希望使用它的网站。许多最受欢迎的移动应用程序,如Facebook和Gmail,很久以前就内置了FIDO2认证功能,但较小的开发人员可能需要更多时间来采用FIDO2。
组织如何开始?
有意将FIDO2添加到其应用程序和网页的组织需要做一些事情。首先,他们必须决定是否要为无密码登录或MFA添加FIDO,并确保他们的应用程序或身份管理系统支持通过FIDO进行身份验证。他们还必须更新登录和注册页面。的FIDO联盟提供了一个解释供应商及其开发人员需要添加哪些FIDO2支持。
