FIDO 安全密钥
FIDO 安全密钥 是什么?
FIDO 安全密钥采用 FIDO U2F 或 FIDO2/WebAuthn 标准的硬件认证器,通过公钥认证实现抵抗钓鱼的登录,适用于 Web 与企业服务。
FIDO 安全密钥是一种小型 USB、NFC 或蓝牙设备,在防篡改硬件中保存私钥,对依赖方发送的认证挑战进行签名。FIDO 联盟定义了基础协议: U2F 作为第二因素,FIDO2 (CTAP2 + WebAuthn) 既可作为第二因素也可作为完全无密码凭据 (包括 passkey)。由于签名绑定到请求站点的来源,FIDO 密钥可挫败实时钓鱼以及绕过 OTP 的 AiTM 代理攻击。主要厂商包括 Yubico、Google (Titan)、Nitrokey、Feitian 与 SoloKeys,广泛部署于 Microsoft、Google、GitHub、AWS 以及政府身份系统。
● 示例
- 01
为 GitHub 或 Microsoft Entra 账户注册一把 YubiKey 5 作为 WebAuthn 认证器。
- 02
向管理员分发 FIDO2 密钥,在云控制台上强制执行抗钓鱼 MFA。
● 常见问题
FIDO 安全密钥 是什么?
采用 FIDO U2F 或 FIDO2/WebAuthn 标准的硬件认证器,通过公钥认证实现抵抗钓鱼的登录,适用于 Web 与企业服务。 它属于网络安全的 密码学 分类。
FIDO 安全密钥 是什么意思?
采用 FIDO U2F 或 FIDO2/WebAuthn 标准的硬件认证器,通过公钥认证实现抵抗钓鱼的登录,适用于 Web 与企业服务。
FIDO 安全密钥 是如何工作的?
FIDO 安全密钥是一种小型 USB、NFC 或蓝牙设备,在防篡改硬件中保存私钥,对依赖方发送的认证挑战进行签名。FIDO 联盟定义了基础协议: U2F 作为第二因素,FIDO2 (CTAP2 + WebAuthn) 既可作为第二因素也可作为完全无密码凭据 (包括 passkey)。由于签名绑定到请求站点的来源,FIDO 密钥可挫败实时钓鱼以及绕过 OTP 的 AiTM 代理攻击。主要厂商包括 Yubico、Google (Titan)、Nitrokey、Feitian 与 SoloKeys,广泛部署于 Microsoft、Google、GitHub、AWS 以及政府身份系统。
如何防御 FIDO 安全密钥?
针对 FIDO 安全密钥 的防御通常结合技术控制与运营实践,详见上方完整定义。
FIDO 安全密钥 还有哪些其他名称?
常见的别称包括: FIDO2 密钥, 安全密钥, 硬件认证器。
● 相关术语
- identity-access№ 1230
WebAuthn
W3C 标准 JavaScript API,允许 Web 应用使用存储在平台或外部认证器上的公钥凭据来注册和认证用户。
- identity-access№ 793
通行密钥 (Passkey)
一种抗钓鱼的 FIDO2/WebAuthn 凭据,使用绑定设备或可同步的非对称密钥对,以加密挑战-响应取代密码。
- identity-access№ 708
多因素认证 (MFA)
在授予访问权限前,要求提供两个或两个以上独立认证因素(通常来自不同类别)的认证方法。
- cryptography№ 739
Nitrokey
由德国厂商 Nitrokey GmbH 推出的开源安全密钥,在 USB 令牌中集成了 FIDO2、OpenPGP、X.509 智能卡与 OTP 功能。
- cryptography№ 1054
智能卡
信用卡尺寸、内嵌安全微控制器的设备,用于存储凭据并执行加密运算;接触式卡片由 ISO/IEC 7816 标准定义。
- attacks№ 821
网络钓鱼
一种社会工程攻击,攻击者冒充可信方,诱骗受害者泄露凭据、转账或运行恶意软件。
● 参见
- № 827PIV 卡
- № 138CAC (通用访问卡)
- № 844持有因素 (你所拥有的)