- 综合排序
- 最热优先
- 最新优先
- 来自专栏sickworm
FIDO UAF中4种Authenticators的区别
在FIDO UAF中一共有4种Authenticators(认证设备): * first-factor bound authenticator(第一因素绑定认证设备) * second-factor authenticator,first-factor roaming authenticator会把密钥存储在自己身上,而second-factor roaming authenticator会把密钥存储在FIDO 注意:4种Authenticators的分类并不是规范,在厂商不需要和其他厂商的FIDO UAF软硬件联合使用时,厂商可以自行选择Authenticator的实现方法。
1.5K20发布于 2019-02-27 - 来自专栏安智客
安全身份认证协议与FIDO
本节课程为DC010技术沙龙中闵晓宇的一段关于《安全身份认证协议与FIDO》的技术分享。PPT如下: (资料来源与网络,如有不妥,请联系删除!) 更多视频,阅读原文,进入i春秋网站。
98350发布于 2018-07-30 - 来自专栏sickworm
FIDO UAF Authenticator Commands v1.0
FIDO UAF Authenticator Commands v1.0 FIDO联盟实施草案 2014年12月08日 本版本 https://fidoalliance.org/specs/fido-uaf-v1.0 【强制】创建可被FIDO Server解析的数据结构。 【强制】向FIDO Server证明自己拥有认证能力。 【可选】向用户显示交易内容。 6.1.1 由FIDO Server解析的结构 本章节定义的结构由UAF Authenticator创建,被FIDO Server解析。 Hodges, FIDO Technical Glossary. FIDO Alliance Proposed Standard. Hill, FIDO Security Reference. FIDO Alliance Proposed Standard.
1.6K40发布于 2019-02-27 - 来自专栏sickworm
FIDO UAF各文档主要内容介绍
本文将介绍FIDO UAF各个文档的内容: fido-appid-and-facets 介绍了appID和facetID的命名规则和作用。 fido-glossary 文档涉及到的一些技术词汇的简单介绍。 fido-security-ref FIDO UAF实现需要面对的一些攻击类型以及防御指南。 fido-uaf-asm-api 主要介绍Client层和ASM层之间的通讯协议和ASM层的消息处理流程。 fido-uaf-overview FIDO UAF协议的概述。 fido-uaf-protocol 主要介绍UAF Server和UAF Client之间的通信协议与各自的处理流程。 fido-uaf-reg 主要介绍规范中定义的常量,包括它们的意义和值。
2K30发布于 2019-02-27 - 来自专栏安智客
FIDO U2F认证器简明原理
FIDO联盟就是通过规范和认证使基于认证器的生态系统,减少对密码的依赖,并防止钓鱼网站,中间人攻击和重放攻击。 U2F认证器特点: 1. 相较于各种银行U盾,无需驱动,无需浏览器插件。 2. 以上是注册和认证的大致流程,如对技术细节感兴趣请参考《FIDO U2F Raw Message Formats》文档,下载地址: https://fidoalliance.org/specs/fido-u2f-v1.0 -ps-20141009/fido-u2f-raw-message-formats-ps-20141009.pdf FIDO演示: ?
3.1K20发布于 2018-07-30 - 来自专栏sickworm
FIDO UAF Client端工作流程介绍
本文将介绍FIDO UAF的运作流程。 根据FIDO UAF文档介绍,FIDO UAF在移动设备上的实现将分为三层:Client,ASM,Authenticator。 ? ? 具体如下: 首先,App向FIDO Server发送GetUAFRequest,Server会返回ReturnUAFRequest,里面包含了与Client交互的数据。 App收到UAF Client的回复后向FIDO Server发送SendUAFResponse,并收到FIDO Server的ServerResponse,里面包含了操作的结果。 具体请看:FIDO UAF中4种Authenticators的区别
5.2K30发布于 2019-02-27 - 来自专栏运维开发王义杰
深入理解FIDO协议及其关键组成部分
在本文中,我们将探讨FIDO协议、FIDO认证器和FIDO密钥的基本概念,以及它们如何共同工作以提供更高级别的安全保护。 FIDO协议简介 FIDO(Fast Identity Online)协议是由FIDO联盟开发的,目的是为了创建一个更安全、更易于使用的在线身份验证标准。 FIDO认证器 FIDO认证器是实现FIDO协议的核心组件之一。它是一个独立的设备或软件,负责处理用户的身份验证请求。 常见的FIDO认证器类型包括: USB安全密钥 NFC(近场通信)设备 指纹识别器 面部识别系统 FIDO密钥 FIDO密钥是FIDO认证器生成和管理的密钥对,包括一个公钥和一个私钥。 总结 FIDO协议、FIDO认证器和FIDO密钥共同构成了一个强大而灵活的身份验证框架,能够提供高级别的安全保护,同时简化用户的登录体验。
1.7K10编辑于 2023-10-23 - 来自专栏公共互联网反网络钓鱼(APCN)
FIDO 降级攻击的机理分析与纵深防御策略研究
然而,近期安全研究揭示了一类新型绕过技术——FIDO 降级攻击(FIDO Downgrade Attack),其不直接破解FIDO协议本身,而是利用身份提供商(IdP)配置中并存的弱认证回退机制,诱导用户或系统主动放弃强认证路径 2 FIDO 降级攻击技术机理2.1 攻击前提与假设FIDO降级攻击的成功依赖于以下前提:目标IdP支持多种认证方法:FIDO为主认证,同时启用至少一种弱回退方式(如SMS、OTP、密码)。 步骤二:拦截FIDO认证请求当用户在钓鱼页面输入账号后,后端向真实IdP发起登录请求。IdP返回包含FIDO认证选项的响应。 实施FIDO-only策略:对于特权账户或关键业务系统,配置IdP策略仅允许FIDO认证。审批式密钥轮换:新安全密钥的注册需经管理员审批,防止攻击者在接管后立即绑定新密钥。 6.2 跨平台兼容性部分老旧应用或BYOD设备可能不支持FIDO。解决方案包括:部署企业浏览器(如Chrome Enterprise)强制FIDO支持。
31310编辑于 2025-12-04 - 来自专栏运维开发王义杰
深入理解FIDO协议及其关键组成部分
在本文中,我们将探讨FIDO协议、FIDO认证器和FIDO密钥的基本概念,以及它们如何共同工作以提供更高级别的安全保护。 FIDO协议简介 FIDO(Fast Identity Online)协议是由FIDO联盟开发的,目的是为了创建一个更安全、更易于使用的在线身份验证标准。 FIDO认证器 FIDO认证器是实现FIDO协议的核心组件之一。它是一个独立的设备或软件,负责处理用户的身份验证请求。 常见的FIDO认证器类型包括: USB安全密钥 NFC(近场通信)设备 指纹识别器 面部识别系统 FIDO密钥 FIDO密钥是FIDO认证器生成和管理的密钥对,包括一个公钥和一个私钥。 总结 FIDO协议、FIDO认证器和FIDO密钥共同构成了一个强大而灵活的身份验证框架,能够提供高级别的安全保护,同时简化用户的登录体验。
1.6K20编辑于 2023-10-23 - 来自专栏FreeBuf
谷歌推出首款量子弹性 FIDO2 安全密钥
谷歌在本周二宣布推出首个量子弹性 FIDO2 安全密钥,作为其 OpenSK 安全密钥计划的一部分。 OpenSK是用Rust编写的安全密钥,支持FIDO U2F和FIDO2标准。 与 Chrome 浏览器的混合机制(X25519 和 Kyber-768 的组合)类似,谷歌提出的 FIDO2 安全密钥椭圆曲线数字签名算法(ECDSA)和最近标准化的抗量子签名算法 Dilithium 最后谷歌表示,希望看到这种组合实现(或其变体)被标准化,成为FIDO2密钥规范的一部分,并得到主流网络浏览器的支持,从而保护用户的凭证免受量子攻击。
65230编辑于 2023-09-08 TLS与FIDO协议核心设计缺陷曝光:认证与加密的关键漏洞
然而,WinMagic近期的发现将改变网络安全领域,其中一项揭示了影响TLS及多种解决方案(如使用加密或认证的FIDO)的核心设计存在根本性缺陷。FIDO与TLS:共生关系? FIDO和TLS在网络安全领域传统上服务于不同目的。FIDO主要专注于认证,提供无密码的强用户认证体验。相反,TLS是一种设计用于保护通信通道的协议,确保数据在网络传输过程中的隐私和完整性。 通过Web认证(WebAuthn)API实现的FIDO与TLS集成是一项重要发展。WebAuthn允许Web应用与FIDO设备交互进行用户认证,增强了在线交互的整体安全框架。 一个例子是攻击者/中间人攻击,攻击者将FIDO认证重定向到授权客户端并通过FIDO认证。影响与观察在这一发现之后,我们希望强调以下观察:可以说TLS设计用于两点之间的安全通信,而不负责认证。 TLS和FIDO不仅应讨论,还应允许修订甚至设计以支持上述缺失部分。如果我们分析联邦认证,该缺陷可能更明显。
29910编辑于 2025-08-27- 来自专栏公共互联网反网络钓鱼(APCN)
新型二维码钓鱼攻击现身,FIDO密钥也难逃“扫码陷阱”?
随着FIDO标准的普及,越来越多用户开始使用物理安全密钥(如YubiKey)或支持FIDO的手机应用进行身份验证。 这个页面与真实服务的登录界面几乎一模一样,用户在输入账号密码后,甚至可能还会被要求插入FIDO密钥进行验证——而这一切,都在攻击者的掌控之中。 公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时表示,“FIDO本身没有被破解,它依然安全。问题出在认证流程的前端——用户被误导进入了错误的网站,后续的FIDO验证只是在为攻击者‘背书’。” 攻防博弈:FIDO为何“失守”?要理解这次攻击的本质,首先要明白FIDO的工作原理。FIDO认证的核心是“绑定”——即用户的设备或密钥只对特定的域名(如login.google.com)生效。 当用户在正确的网站上发起登录请求时,FIDO密钥会验证当前域名是否匹配,只有匹配才允许完成验证。但在此次攻击中,用户扫描二维码后进入的钓鱼网站,其域名显然与真实服务无关。
95710编辑于 2025-10-21 - 来自专栏公共互联网反网络钓鱼(APCN)
基于二维码的FIDO绕过攻击机理与防御对策研究
,从而实质性削弱FIDO密钥的安全保障。 尽管Expel随后澄清该攻击并未真正“绕过”FIDO密钥——攻击者仅在密码验证阶段成功,后续FIDO挑战实际失败——但该事件揭示了一个关键问题:当FIDO认证与其他可钓鱼的辅助因子(如基于时间的一次性密码 若服务端未严格校验初始登录IP与后续FIDO响应来源的一致性,攻击者即可接管会话。(二)协议层面的降级漏洞尽管FIDO密钥本身未被绕过,但整个认证流程被降级为“密码 + 可远程触发的FIDO响应”。 Expel后续澄清指出,在其观察案例中,Okta日志显示FIDO挑战实际失败,攻击者仅凭密码登录成功。但这恰恰说明:若组织同时启用密码+FIDO,则密码一旦泄露,FIDO的防护价值即被稀释。 = ('fido' in factors andresults.get('fido') == 'failure')return pwd_success and fido_failedsuspicious
36710编辑于 2025-11-30 - 来自专栏公共互联网反网络钓鱼(APCN)
“PoisonSeed”黑客攻击FIDO密钥?真相是:技术未被攻破,但用户可能被“骗过”
然而,随着事件深入调查,一个关键转折出现了:所谓的“绕过FIDO”,其实是一场乌龙——FIDO协议本身并未被攻破,真正被“突破”的,是用户的判断力。 Expel承认:“我们最初认为攻击者完成了整个认证流程,但经过与FIDO联盟及社区专家的沟通,我们意识到这一结论并不准确。” 公司已撤回“FIDO被绕过”的说法,并承诺改进其技术报告的审核流程。 用户“自愿”授权:受害者以为自己在正常扫码登录,便用手机上的FIDO应用扫描了二维码——而这一操作,实际上是在为攻击者的会话进行授权。“这并不是FIDO被‘绕过’,而是被‘降级’了。” FIDO依然安全,但实施方式需优化值得强调的是,此次事件并未暴露FIDO协议本身的漏洞。 “FIDO的安全性取决于它的实现方式。” 芦笛指出,“就像一把好锁,如果门框是纸做的,再坚固也没用。企业在部署FIDO时,必须关闭那些容易被滥用的‘便利功能’,尤其是在高权限账户上。”
25710编辑于 2025-10-21 - 来自专栏博客迁移同步
九、从华为HMS快速身份验证能力FIDO2看密码学知识
FIDO Client:FIDO客户端,是HMS的SDK能力的一部分 FIDO Authenticator:FIDO认证器,是HMS的SDK能力的一部分 BioAuthn:本地生物能力认证,是HMS 2.FIDO服务器将随机生成挑战值返回给应用程序,应用程序将挑战值发给FIDO客户端,FIDO客户端连接认证器,发起注册。 3.认证器验证通过,生成一对用户公私钥,并将私钥保存在本地。 4.认证器返回签名给FIDO客户端,FIDO客户端返回给应用程序。应用程序发给FIDO服务器进行注册。 5.FIDO服务验证签名,保存公钥,并将处理结果返回给应用程序。 2.FIDO服务器将随机生成挑战值返回给应用程序,应用程序将挑战值发给FIDO客户端,FIDO客户端连接认证器,发起认证。 3.认证器验证通过,用其保存的私钥对挑战值进行签名。 认证器返回签名给FIDO客户端,及应用程序。应用程序发给FIDO服务器进行认证。 4.FIDO服务验证签名,并将处理结果返回给应用程序。
1.1K10编辑于 2023-05-06 - 来自专栏sickworm
Android中ActivityService获取调用者的信息(FIDO UAF Client获取调用者的信息)
实现UAF协议的时候,Client需要获取调用者的信息(获得其APK的签名)。用中文查了半天没查到获取Activity的方法,用英文一下就搜出来了(主要还是看英文累脑子)
6.7K20发布于 2019-02-27 - 来自专栏公共互联网反网络钓鱼(APCN)
新型“FIDO降级攻击”悄然兴起,专家警示:别让安全功能成摆设
然而,最新安全研究揭示:攻击者正绕开这道“铜墙铁壁”,转而攻击人类心理与系统配置漏洞——一种名为“FIDO降级攻击”(FIDO Downgrade Attack)的新型手法正在悄然蔓延。 别信,这可能是骗局FIDO降级攻击的核心逻辑是“心理诱导+技术误导”。 遗留系统成“安全短板”报告指出,FIDO降级攻击之所以迅速蔓延,关键在于许多组织在推进无密码化时采取了“并行策略”:既启用FIDO,又保留传统认证方式,以避免员工因设备不支持而无法登录。 监控异常认证行为即使启用了FIDO,也应持续监控认证日志。 给普通用户的建议:三句话自保“FIDO登录,从不点链接”:任何要求你“重新设置登录方式”“恢复密码”的邮件,都是骗局。真正的FIDO系统不会通过邮件通知你降级。
85610编辑于 2025-10-26 - 来自专栏FreeBuf
提升安全性,主流浏览器将迎来新的Web认证标准
与FIDO的客户端到验证器协议(CTAP)规范一起,它是FIDO2项目的核心组件,它使“用户能够通过具有钓鱼安全性的桌面或移动设备轻松验证在线服务。” 新的FIDO2规范补充了现有的无密码FIDO UAF和第二因子FIDO U2F用例。所有FIDO2网络浏览器和在线服务均向后兼容经过认证的FIDO安全密钥。 FIDO表示,Android和Windows 10将具有对FIDO身份验证的内置支持。 该联盟表示,它很快将推出互用性测试,并计划为服务器,客户端和认证机构颁发符合FIDO2规范的认证。 针对与所有FIDO认证器类型(FIDO UAF,FIDO U2F,WebAuthn和CTAP)互用性的服务器的新的Universal Server认证也正在进行中。 在具有FIDO身份验证器的设备上的浏览器中运行的Web应用程序可以调用公共API来启用用户的FIDO身份验证。开发人员可以在FIDO的新开发人员资源页面上了解更多信息。
1.3K50发布于 2018-04-17 - 来自专栏智影Yodonicc
雅虎日本的无密码认证
[post22image2.png] 带有WebAuthn的FIDO FIDO with WebAuthn使用一个硬件认证器来生成公钥密码对并证明其拥有权。 欲了解更多信息,请阅读FIDO联盟的认证指南。 雅虎日本对FIDO的支持从安卓上的Chrome浏览器开始,现在已经有超过1000万用户设置了FIDO认证。 由于FIDO的设置非常简单,它的转换率特别高。事实上,雅虎日本发现,FIDO的CVR比SMS认证要高。 25%的用户遗忘凭证的请求减少了 74%的用户成功使用FIDO认证 65%的用户使用短信验证成功 FIDO的成功率高于短信验证,而且平均和中位验证时间更快。
2K41编辑于 2022-05-12 - 来自专栏大数据文摘
密码就快要彻底消失了,没有人怀念它
FIDO 联盟成员一览丨FIDO 这些来自不同领域的成员,在同一套技术标准的框架下协力,或许将来能保证无密码登录体验的一致性,甚至是用户在不同设备 / 应用之间的互联互通性。 所以,FIDO 联盟即便拉拢了业内巨头,在过去十年也只能循序渐进,一步步寻求突破。 在过去数年中,FIDO 联盟推行过三种不同的无密码协议。 FIDO UAF丨FIDO 另一个叫“FIDO U2F”的技术,则是通过两步验证,来提供更多的安全加密方式,包括蓝牙 / NFC 物理密钥、两步验证码等方式实现。 FIDO U2F丨FIDO 在上述两个协议之后,真正开始推动完全无密码时代的 FIDO2 协议,于 2015 年诞生。 FIDO2|FIDO 在 FIDO 联盟成立了十年之后的今天,互联网历史在无密码领域的“第三阶段”,才算是真正踏出最重要的一步。
89120编辑于 2022-08-26
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号