随着5G的到来，打开了万物互联的新时代，数据泄露和攻击风险也急剧增加，保障互联网应用和服务安全访问的机制，已经从基于知识共享的口令机制转变为可信设备、公钥和生物识别相结合的新一代安全认证机制。
FIDO联盟自2013年开始开发开放且可扩展的协议来抵御钓鱼和其他安全攻击。为了介绍这些领先的方法，通过公司的管理和IT安全实践来指导员工，FIDO联盟开发了一系列最佳实践、指南白皮书，以贯彻联盟作为认证领域专家的义务和职责。这项工作致力于“杀死”口令以及保护所有企业系统中的简单登录行为。
本白皮书回答了CEO们最常见的问题：即FIDO认证的价值主张，以及FIDO2无口令框架怎样解决企业的身份验证需求和劳动力挑战。本文的目的是向组织内的高级管理人员介绍为企业部署FIDO2的必要性。

CEO们的常见问题与实践指南

1.什么是FIDO认证、FIDO2适用于什么场景？
FIDO认证是一种强认证方法，运用了标准公私钥机制替代替共享密钥机制，提供强认证并且可以有效抵御钓鱼、信道攻击。FIDO的设计初衷是为了保护用户隐私；认证时使用的登录凭据和生物特征数据，从未离开用户的设备。在平衡便捷和安全的用户体验后，只要在登录时使用设备上已有的生物认证模块（如指纹或人脸）或外部安全硬件（如FIDO安全密钥）进行简单操作即可。

FIDO认证可以通过三组公开协议来实现：FIDO Universal Second Factor（FIDO U2F），FIDO Universal Authentication Framework（FIDO UAF），FIDO2（Client to Authenticator Protocols 和 Web Authentication）。FIDO2为web端和客户端都带来了无口令体验；FIDO2也是本白皮书的主角。

2.FIDO2提供了哪些新能力，为什么会成功？
FIDO兼备双因素认证的多个优点，并且添加了强密钥和应用密钥唯一性。FIDO可以防范令企业头疼的钓鱼攻击，通过用户密钥与应用一一对应以及密钥永不离开设备来实现。我们相信这个方法会带来更加快速、简单和安全的登录体验。
FIDO2涵盖了FIDO认证的全部优点，在此基础上还可以进行扩展，比如使用移动设备作为外部认证器、支持企业办公系统无用户名口令登录等。更重要的是，FIDO2的 W3C Webauthn API组件允许将FIDO认证支持构建到所有主流的浏览器和操作系统中，从而简化了其在企业中的应用与实现。

3.FIDO解决了业务中的什么问题？
口令对所有相关人员都是一个挑战。对用户而言它们难于记忆、易于被盗取和复用。事实上，互联网上大多数漏洞都源于口令被盗或弱口令。此外，处理丢失的口令对企业及售后人员来说都要付出巨大的成本。FIDO可以完全替换口令，也可以作为现有方案之上的第二因素认证方法。FIDO降低了口令一直以来的风险。口令是共享的秘密，一旦被盗，攻击者可以访问该用户的帐户和信息。这个问题使得多因素认证（MFA）被广泛使用，它帮助解决了口令的一些缺点，但一些多因素的认证方法（比如短信验证码）仍然容易受到技术和社会工程的攻击。

FIDO为MFA提供了一种新的方法来解决口令的安全性和可用性问题。FIDO使用公钥加密技术
为用户需要进行身份验证的每个应用创建强且独立唯一的身份标识。用户的认证器创建一个公私钥对，并与指定的web应用程序共享公钥，私钥安全存储于硬件中，例如用户手机安全芯片、硬件key等安全存储空间。这个私钥是不可提取的，且不像口令那样存储于中央服务器中。生物特征认证也可以用在FIDO认证器中，以确保访问私钥的用户身份。

FIDO旨在使应用程序的认证更加安全且易于操作，以此增强用户和企业的安全性。

4.还有什么安全认证方法，在实践中各有什么限制？
当前，大部分组织依靠口令来进行认证。
虽然企业可以通过使用单点登录（SSO）或者帐户联合来减少用户输入口令的次数，但用户仍然会选择弱口令、多个应用共用同一密码、分享密码等违反口令使用规范的行为，最终导致口令的泄漏。

为了弱凭据的危害，很多企业使用智能卡、MFA应用、双因素身份认证（2FA）令牌等，这些虽然有助于降低凭据被盗的风险，但是也带来了管理方面的挑战以及糟糕的认证体验，而且无法防范更复杂的重放攻击和中间人攻击。

5.谁关心？如果FIDO2在企业中成功部署了，会带来什么变化？
当企业成功部署了FIDO2，将在以下方面带来深远的提升：
●安全性：最大的泄漏来自于口令的盗用、重用和弱密码性。FIDO2给网页应用带来了可行的口令替代方案。FIDO认证器使用户能够更快速、更安全地登录。
●成本：口令泄漏造成的危害对企业安全底线、声誉和组织生产都是异常昂贵。此外，基于口令的认证系统需要额外的支持成本（比如密码重置、安全教育、部署多因素认证系统）。
●用户体验：用户已经体验到手机和笔记本电脑上的指纹、人脸认证。现在FIDO2可以带给企业的应用和网页应用，同样的便捷体验。

6.在部署中会有什么挑战？
如果没有用户培训和资源，部署会非常艰难。无口令登录对大多数员工来说仍然是一个新概念，很多人可能会对生物认证技术持怀疑态度、对新机制感到困扰。对采用者来说，首要任务是教育用户。老用户的支持是另一个问题，因此要计划好如何使企业当前的方案过渡到FIDO2。如果并没有使用单点登录作为认证网关，实现FIDO2需要企业应用开发者支持。如果企业计划部署FIDO key，一定要为这些设备设计一个管理周期，如何向用户分发这些硬件Key，最终停止使用旧的机制。

7.项目开始前需要准备多长时间？
我们的建议是计划一个试点项目，3到6个月时间足够部署并获得用户的反馈。根据企业身份认证基础架构的不同，会有所区别。
如果企业使用第三方产品或服务来实现网页访问管理，需要由产品或服务的供应商来完成FIDO2的部署。如果您有一个单点认证系统，且系统中包含某种形式的多因素功能的可扩展性框架，请首先将FIDO2注册和身份认证作为附加的多因素功能添加到该系统。对于有宏伟眼光和强开发能力的管理者，让您的团队挑战完全替换口令认证。否则，这个挑战会被遗留到以后的应用阶段。

8.部署成功后是什么样子的？
合理的期望是员工登录企业应用将更加安全、便捷。由于在应用访问时不再使用弱口令和重用口令，认证将会更安全；这种方式也更令人喜欢，因为员工可以使用更加快速、直观的认证方式，就像解锁手机和笔记本一样。
如果大部分的应用都可以通过轻触按钮实现安全访问，对企业安全和员工生产力不都是一个很好的提升吗？
以某供应链金融公司为例：总共约200台服务器部署于阿里云，开发者登录服务器使用google authenticator作为安全手段。优点是非常方便集成，终端设备可以离线使用；缺点是口令可能被人获取，输入OTP操作略显繁琐。在此使用环境中，管理者需要解决的问题是设备、人员管理，更安全便捷的登录手段，在使用FIDO替换google authenticator后，登录操作简化为：账号+指纹（3D人脸）登录，提高登录成功率约30%，安全性提高，同时提供登录设备管理，方便企业管理人员进行管理。

9.我在哪里可以获取更多资料？
更多案例研究，请参见https://fidoalliance.org/content/case-study/
企业部署FIDO的白皮书https://fidoalliance.org/white-papers/
FIDO在中国的落地与实践案例，请咨询http://www.gmrz-bj.com。

总结
目前，大部分组织依赖口令进行用户登录，这种方式对业务和用户都有潜在的威胁。口令会被盗用、泄漏、钓鱼，用户不同应用之间也可能共享，相应的口令安全培训和口令丢失管理的成本会很高。使用FIDO2来登录企业应用可以很好的提高用户安全。无口令认证仍然是一个新概念，前期对用户的教育非常重要。我们建议限定时间进行试用，与应用访问控制管理团队或供应商共同探讨适合企业的解决方案。随着FIDO2的成功推出，用户能够享受到比之前更快、更简单、更安全的登录体验。

翻译自https://media.fidoalliance.org/wp-content/uploads/2020/07/CXO-Explanation-FIDO2-Value-Proposition.pdf

[培训]内核驱动高级班，冲击BAT一流互联网大厂工 作，每周日13:00-18:00直播授课