火星科技网您的位置:首页 >资讯 >

无密码网络得到Windows Hello FIDO2认证的推动

导读 微软试图取消密码正在全力以赴。该公司宣布Windows Hello是一种允许Windows 10用户使用生物识别信息登录其设备的无密码身份验证方法,现

微软试图取消密码正在全力以赴。

该公司宣布Windows Hello是一种允许Windows 10用户使用生物识别信息登录其设备的无密码身份验证方法,现在已成为FIDO2认证的身份验证器,加入了基于硬件的安全密钥列表,如Yubico的YubiKey。

无密码身份验证利用FIDO U2F(通用第二因素)开放标准,使这些硬件的用户可以轻松地使用蓝牙,近场通信(NFC)或USB无缝登录在线服务和应用程序。它由Google共同开发和Yubico,在2013年被FIDO(Fast IDentity Online)联盟监管之前。

改进后的Windows Hello登录平台的不同之处在于它内置于大规模流行的Windows 10操作系统中,从而无需单独的专用硬件。

去年11月,微软向前迈出了一步,增加了使用Windows Hello或符合FIDO2标准的外部身份验证器安全登录Web上的Microsoft帐户的功能,而无需使用密码。

“没有人喜欢密码(黑客除外),”微软在Azure Core OS中加密身份和身份验证团队负责人Yogesh Mehta写道。“人们不喜欢密码,因为我们必须记住它们。因此,我们经常创建易于猜测的密码 - 这使得它们成为黑客试图在工作中访问您的计算机或网络的第一个目标。

此举也有望加速向无密码网络的过渡,并且在Mozilla Firefox,Microsoft Edge,Opera之后几个月谷歌Chrome浏览器都增加了对WebAuthn的支持,这是一个关键标准,用于定义对基于Web的应用和服务进行用户身份验证的具体实现细节。

但它是如何实际工作的?

在典型情况下,当系统提示您登录服务时,您使用用户名(或电子邮件或电话号码)和密码,这两者都通过Web安全地发送到网站,然后验证用户名/密码在让你进入之前确定你的身份的组合。

这里的重要方面是,一旦您与服务共享您的凭据,您无法控制它对数据的作用,包括它是否安全地存储它们,以便在发生泄露时您的个人信息不会泄露。

FIDO2的不同之处在于您不必处理密码,最重要的是,请使用您的凭据信任该网站。

这是因为它使用公钥加密(PKE)进行身份验证,其中涉及使用一对加密密钥:一个秘密的私钥,以及广泛传播的公钥。

PKE背后的想法如下:如果Alice向Bob发送消息并且不希望任何其他人读取其内容,她将使用Bob的公钥加密该消息。当Bob收到加密的消息时,他会使用他的私钥来解密和读取它。

或者,它也可用于验证您的身份。在这种情况下,发件人Alice用她的私钥加密邮件并将其发送给收件人,然后收件人可以使用Alice的公钥解密邮件,从而确认加密邮件来自她。

FIDO2使用第二种方法进行身份验证。因此,当您尝试注册服务时,网站只需使用嵌入在其网页中的特殊JavaScript代码,即可向您提供用户输入用户名和密码的常规登录表单,而无需向您提供。

该特殊代码遵循WebAuthn API标准,允许您的Web浏览器创建和管理登录网站所需的加密凭据。简而言之,它只是一个基于JavaScript的密码自动填充,它也充当客户端(您的浏览器)和网站的Web服务器之间的中间人。

你如何生成密钥?

这是验证者开始拍照的地方。它们可以原生地集成到操作系统中,如Google的Android(此处有更多详细信息)和Windows Hello面部识别系统,或者像YubiKey甚至智能手机这样的外部验证器。

但是为了支持广泛的验证器,制造商同意一套关于浏览器和验证器如何有效地相互通信的通用协议也很重要。这些规则统称为CTAP(客户端到身份验证器协议),它们使您的浏览器能够通过各种方法(如蓝牙,NFC或USB)与外部验证器进行通信。

因此,当您使用Chrome或Firefox登录网站时,服务器会发送挑战(通常是一个非常大的随机数),登录页面中的JavaScript代码使用WebAuthn API来提示您的浏览器使用你的私钥。反过来,浏览器将挑战卸载到验证器,验证者会提示您允许这样做。

在此阶段,您将手指放在验证器的指纹扫描仪上或扫描您的面部(如果是Windows Hello)。一旦验证者确认了您的生物识别信息,它就会使用私钥对挑战进行加密,并将其传递回Web浏览器,然后将其传递回网站的客户端JavaScript代码,然后将其交回网站的服务器。

现在已经收到加密消息的服务器使用您在注册时提供的注册公钥(参见上图)成功解密了质询,从而证明您是谁。

这对你意味着什么?

无密码身份验证是安全性的一大胜利,由于没有通过Internet发送密码,因此没有密码可以妥协。

虽然它背后的技术要比发送简单的用户名/密码组合复杂得多,但作为用户,您不必记住或输入密码。你证明了自己的身份而没有透露任何关于你的事情

随着Android和Windows 10等平台为数十亿有源设备供电,这一转变将为数亿用户带来更高的安全性。人们只能希望将来有更多的系统能够纳入该标准。

标签:

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。