FIDO аутентификация

Представление сущностей, участвующих в аутентификации: сервер, веб-браузер и устройство.

Аутентификация FIDO (Fast IDentity Online) - это набор стандартов для быстрой, простой и надежной аутентификации.

Эти стандарты разработаны FIDO Alliance, отраслевой ассоциацией, в которую входят представители ряда организаций, включая Google, Microsoft, Mozilla и Yubico. Стандарты обеспечивают защиту от фишинга, аутентификацию без пароля и многофакторную аутентификацию. Они улучшают пользовательский интерфейс в Интернете, упрощая внедрение и использование строгой аутентификации.

Некоторые из самых популярных веб-инструментов и приложений уже используют аутентификацию FIDO, включая учетные записи Google, Dropbox, GitHub, Twitter и Yahoo Japan.


  • Пользователи выигрывают. Пользователи выигрывают от быстрых и безопасных потоков аутентификации.

  • Разработчики побеждают. Разработчики приложений и веб-сайты могут использовать простые API-интерфейсы для безопасной аутентификации пользователей.

  • Компания выиграть. Владельцы сайтов и поставщики услуг могут более эффективно защищать своих пользователей.

Как работает аутентификация FIDO?

В потоке аутентификации FIDO, полагающаяся сторона использует API - интерфейсы для взаимодействия с идентифицирующим пользователем.

Полагающаяся сторона

Представление безопасного соединения между веб-приложением и веб-сервером.

Полагающаяся сторона ваша служба, состоящая из фоновым сервера и фронтальным приложения.

Применение

Во время аутентификации или регистрации потока, приложение использует на стороне клиента API , как WebAuthn и FIDO2 для Android для создания и проверки учетных данных пользователя с идентифицирующей.

Это включает передачу криптографического запроса от сервера аутентификатору и возврат ответа аутентификатора серверу для проверки.

Сервер

Сервер хранит учетные данные открытого ключа пользователя и информацию об учетной записи.

Во время аутентификации или регистрации сервер генерирует криптографический запрос в ответ на запрос от приложения. Затем он оценивает ответ на вызов.

FIDO Alliance поддерживает список сертифицированных продуктов сторонних производителей, в том числе серверных решений. Также доступен ряд серверов FIDO с открытым исходным кодом; см WebAuthn Удивительная для получения дополнительной информации.

Аутентификатор

Пользователь собирается войти в веб-приложение на мобильном устройстве.

От FIDO аутентификатор генерирует учетные данные пользователя. Учетные данные пользователя имеют как открытый, так и закрытый ключ. Открытый ключ передается вашей службе, а закрытый ключ хранится в секрете аутентификатором.

Аутентификатор может быть частью устройства пользователя или внешним оборудованием или программным обеспечением.

Аутентификатор используется в двух основных взаимодействий: регистрации и аутентификации.

Регистрация

В сценарии регистрации, когда пользователь регистрирует учетную запись на веб-сайте, аутентификатор генерирует новую пару ключей, которую можно использовать только в вашем сервисе. Открытый ключ и идентификатор для учетных данных будут храниться на сервере.

Аутентификация

В сценарии аутентификации, когда пользователь возвращается к службе на новом устройстве или после истечения срока его сеанса, аутентификатор должен предоставить подтверждение личного ключа пользователя. Он делает это, отвечая на криптографический запрос, выданный сервером.

Для проверки личности пользователя некоторые типы аутентификаторов используют биометрические данные, такие как отпечатки пальцев или распознавание лиц. Другие используют ПИН-код. В некоторых случаях для проверки пользователя используется пароль, а аутентификатор обеспечивает только двухфакторную аутентификацию.

Следующие шаги

Возьмите кодовую лабораторию:

Узнать больше о: