Entry № 461
FIDO2
FIDO2 是什么?
FIDO2FIDO 联盟推出的开放认证标准,结合 WebAuthn(浏览器 API)和 CTAP(认证器协议),实现抗钓鱼的无密码登录。
FIDO2 是两项互补规范的总称:WebAuthn 是 W3C 制定的 JavaScript API,允许依赖方创建并验证公钥凭据;Client to Authenticator Protocol(CTAP)则使浏览器能通过 USB、NFC 或蓝牙与外部认证器通信。每个凭据都是绑定到单一依赖方来源的公钥对;用户在场及验证(轻触、生物识别或 PIN)用于授权使用私钥。由于协议将签名与来源绑定,并采用挑战-响应机制,FIDO2 可有效抵御钓鱼、重放和撞库攻击。它既支持第二因素,也支持完全无密码流程,是现代 passkey 的基础。
● 示例
- 01
在 GitHub 账户上将 YubiKey 5 注册为第二因素。
- 02
在 Windows Hello 上使用平台认证器以无密码方式登录 Microsoft Entra ID。
● 常见问题
FIDO2 是什么?
FIDO 联盟推出的开放认证标准,结合 WebAuthn(浏览器 API)和 CTAP(认证器协议),实现抗钓鱼的无密码登录。 它属于网络安全的 身份与访问 分类。
FIDO2 是什么意思?
FIDO 联盟推出的开放认证标准,结合 WebAuthn(浏览器 API)和 CTAP(认证器协议),实现抗钓鱼的无密码登录。
如何防御 FIDO2?
针对 FIDO2 的防御通常结合技术控制与运营实践,详见上方完整定义。
FIDO2 还有哪些其他名称?
常见的别称包括: FIDO 2.0。