atsec信息安全(以下简称“atsec”)获得了FIDO联盟的资质授权,成为FIDO安全评估实验室,从而可以为FIDO认证器产品执行安全评估。授权信息可以通过FIDO联盟官网链接进行查询: https://fidoalliance.org/certification/authenticator-certification-levels/accredited-security-laboratories/。
在当今网络世界,每个用户平均拥有多达90个在线账户,并且51%的密码在这些账户间被重复使用。密码已经成为目前网络安全的主要问题,是超过80%数据泄露的根本原因。根据FIDO联盟的研究,单次密码重置的平均成本高达70美元。
FIDO(Fast IDentity Online,在线快速身份识别)提供了一系列身份认证标准以减少对密码的依赖。作为FIDO联盟授权的安全评估实验室,atsec可以为您的认证器产品提供如下安全评估服务:
• FIDO2:FIDO2由W3C网络身份认证规范(WebAuthn:Web Authentication)和FIDO联盟相应的客户端到认证器协议(CTAP:Client-to-Authenticator Protocols)组成。 o WebAuthn:WebAuthn定义了一系列标准Web API,目前已经被内置到浏览器和平台中,以实现对FIDO身份认证的支持。
o CTAP2:CTAP2允许在支持FIDO2的浏览器和操作系统上通过USB、NFC或BLE使用外部认证器(FIDO安全密钥、移动设备)进行认证,用来实现无密码、第二因素或多因素身份认证。
o CTAP1:CTAP1是FIDO U2F的新名称,它允许在支持FIDO2的浏览器和操作系统上通过USB、NFC或BLE使用现有的FIDO U2F设备(如 FIDO安全密钥)进行身份认证,用来实现第二因素。
• FIDO UAF:通过任意一种本地认证机制,如指纹识别、面部识别、声纹识别、输入PIN码等,FIDO UAF可以支持在用户设备上实现在线服务的无密码认证方式。
上述FIDO2以及FIDO UAF协议一共定义了16个安全目标(Security Goals),这些安全目标通过29项安全措施(Security Measures)来实现,并最终导出10个安全要求(Security Requirements)如下:• 认证器定义的衍生要求
• 密钥管理和认证器安全参数
• 认证器对用户存在和用户验证的测试
• 隐私
• 物理安全、侧信道攻击抵抗和故障注入抵抗
• 证明
• 运行环境
• 自检和固件更新
• 制造和研发
• 操作指南
密码和其他形式的传统认证,如短信一次性密码(SMS OTP),是基于知识的认证形式,难以记忆,并且容易受到钓鱼、收集和重放攻击的影响。FIDO有助于从这种传统的、基于知识的认证场景转变为现代的、基于所有权、且抗钓鱼的认证场景。
对认证器产品按照FIDO标准进行安全评估,使供应商能够将其认证器集成到启用FIDO的现代化在线服务中,并为用户提供无缝的认证体验。同时这也减少了密码遗忘或被盗的风险。
atsec愿意与您合作,帮助您了解标准的要求,对您的认证器产品进行评估和测试,并获得FIDO认证。
同时,作为FIDO联盟(https://fidoalliance.org/members/)的成员之一,atsec期待能够为产业提供更多的贡献。
已完成并获得FIDO认证的产品可以通过FIDO联盟的官方网站进行查询:
https://fidoalliance.org/certification/fido-certified-products/。
有关atsec更多的服务信息,请访问:https://www.atsec.com/。