FIDO-Authentifizierung

Eine Darstellung von Entitäten, die an der Authentifizierung beteiligt sind: Ein Server, ein Webbrowser und ein Gerät.

Die FIDO-Authentifizierung (Fast IDentity Online) ist eine Reihe von Standards für eine schnelle, einfache und starke Authentifizierung.

Diese Standards werden von der FIDO Alliance entwickelt, einem Branchenverband mit Vertretern einer Reihe von Organisationen, darunter Google, Microsoft, Mozilla und Yubico. Die Standards ermöglichen eine Phishing-resistente, passwortlose und mehrstufige Authentifizierung. Sie verbessern die Online-UX, indem sie die Implementierung und Verwendung einer starken Authentifizierung vereinfachen.

Einige der beliebtesten Tools und Apps des Webs verwenden bereits die FIDO-Authentifizierung, darunter Google-Konten, Dropbox, GitHub, Twitter und Yahoo Japan.


  • Benutzer gewinnen. Benutzer profitieren von schnellen und sicheren Authentifizierungsabläufen.

  • Entwickler gewinnen. App- und Webentwickler können einfache APIs verwenden, um Benutzer sicher zu authentifizieren.

  • Unternehmen gewinnen. Websitebesitzer und Dienstanbieter können ihre Benutzer effektiver schützen.

Wie funktioniert die FIDO-Authentifizierung?

In einem FIDO Authentifizierungsablauf, eine vertrauende Partei verwendet APIs mit einem Benutzer Authentifikator zu interagieren.

Vertrauende Partei

Eine Darstellung einer sicheren Verbindung zwischen einer Web-App und einem Webserver.

Die vertrauende ist Ihr Service, bestehend aus einem Back-End - Server und eine Front-End - Anwendung.

Anwendung

Während einer Authentifizierung oder Anmeldung Flow, verwendet die Anwendung clientseitige APIs wie WebAuthn und FIDO2 für Android zu erstellen und Benutzerdaten mit dem Authentifikator zu überprüfen.

Dies beinhaltet das Weiterleiten einer kryptografischen Abfrage vom Server an den Authentifikator und das Zurücksenden der Antwort des Authentifikators an den Server zur Validierung.

Server

Der Server speichert die Anmeldeinformationen des öffentlichen Schlüssels und die Kontoinformationen des Benutzers.

Während eines Authentifizierungs- oder Registrierungsflusses erzeugt der Server eine kryptografische Herausforderung als Reaktion auf eine Anforderung von der Anwendung. Anschließend wertet es die Reaktion auf die Herausforderung aus.

Die FIDO Allianz unterhält eine Liste der zertifizierten Produkte von Drittanbietern, einschließlich Server - Lösungen. Eine Reihe von Open-Source-FIDO-Servern sind ebenfalls verfügbar; siehe WebAuthn Ehrfürchtig für weitere Informationen.

Authentifikator

Ein Benutzer ist dabei, sich auf einem Mobilgerät bei einer Web-App anzumelden.

Ein FIDO Authentifizierer erzeugt Benutzer - Credentials. Ein Benutzerberechtigungsnachweis hat sowohl eine öffentliche als auch eine private Schlüsselkomponente. Der öffentliche Schlüssel wird mit Ihrem Dienst geteilt, während der private Schlüssel vom Authentifikator geheim gehalten wird.

Ein Authentifikator kann Teil des Geräts des Benutzers oder eine externe Hardware oder Software sein.

Registrierung und Authentifizierung: Der Authenticator ist in zwei grundlegenden Wechselwirkungen verwendet.

Anmeldung

Wenn sich ein Benutzer in einem Registrierungsszenario für ein Konto auf einer Website anmeldet, generiert der Authentifikator ein neues Schlüsselpaar, das nur für Ihren Dienst verwendet werden kann. Der öffentliche Schlüssel und eine Kennung für die Anmeldeinformationen werden auf dem Server gespeichert.

Authentifizierung

Wenn ein Benutzer in einem Authentifizierungsszenario auf einem neuen Gerät zum Dienst zurückkehrt oder seine Sitzung abgelaufen ist, muss der Authentifikator den privaten Schlüssel des Benutzers nachweisen. Er tut dies, indem er auf eine vom Server ausgegebene kryptografische Aufforderung antwortet.

Um die Identität des Benutzers zu überprüfen, verwenden einige Arten von Authentifikatoren biometrische Daten wie Fingerabdrücke oder Gesichtserkennung. Andere verwenden eine PIN. In einigen Fällen wird ein Passwort verwendet, um den Benutzer zu verifizieren, und der Authentifikator bietet nur die Zweit-Faktor-Authentifizierung.

Nächste Schritte

Nehmen Sie ein Codelab:

Lerne mehr über: