无密码技术
简述
这里说的是无密码技术并不是不使用密码进行认证,而是用生物信息进行识别个人。
这里的生物信息说的是,
这种方式其实较多存在手机 和 电脑的 指纹和面部识别当中
密码托管技术 1Password
重要的概念
FIDO2
FIDO 的意思是 Fast Identity Online
一种标准协议,减少账户对密码的依赖,其中利用可信平台,USB安全令牌,智能卡,指纹和面部识别等
FIDO2技术实现
其技术实现并不是基于账户密码而是公钥加密的方式进行验证 ,涉及一个私钥和一个公钥 。
登录需要解决的问题是 证明我是谁,在FIDO2当中使用到了数字签名的概念。
当使用Chrome或Firefox登录的时候,服务器发送一长串任意数字和JS代码到登录页面,网页API让浏览器用私钥加密信息,然后对方再用公钥进行解密,这是否意味着是通过数字签名的方式进行了验证呢?
FIDO 的协议组成
U2F 和 UAF UAF
uaf的意思是无密码用户体验,通过指纹,语音,虹膜进行安全识别人的身份信息,不需要使用密码。
U2F
u2f的意识是二次认证,二次对身份进行验证。输入密码之后输入手机号的验证码,绑定硬件和密码。
FIDO工作方式
挑战报文的方式,用户端创建密钥对,用户端设备保留私钥,公钥注册到服务器端 ,使用私钥进行对challenge签名。
文档
使用举例
Windows Hello
现在新的笔记本都会配备一个指纹或者面部解锁或者至少会配备一个PIN。 Windows Hello 是两种技术 - UAF:使用指纹或者面部进行解锁 - U2F:PIN
使用指纹是UAF技术比较好理解,为什么PIN是U2F技术呢?
首先明白,支持PIN技术,意味着你的硬件当中存在TPM,其为可信平台模块。
TPM和PIN是相互绑定进行验证的。
1. 在之前,黑客获取你的远程权限,只需要获取到你的开机密码即可(如果你的账户配置了RDP),这种情况就属于单次认证。
2. 如果你使用PIN方案,PIN是和你的硬件设备绑定的,黑客即使知道你的PIN,也不能通过RDP获取你的远程权限(因为没有物理进行接触你的设备)。这相当于需要双重进行认证,第一重是PIN,第二重是设备。
后续扩展
TPM
TPM 2.0是一种芯片,全名叫做 可信平台模块 ,这个芯片专门做加密的事情
多方计算
可信计算
TCPA ,即基于硬件安全模块支持下的可信计算平台,提高系统给的整体安全性