FIDO身份认证登录案例
作为连接全球数百万买家和卖家的全球商业领导者,eBay为各种规模的个人、企业家、企业和组织提供经济机会。因为用户是其成功的核心,eBay 强调为买家和卖家提供积极和安全的体验。与大多数网站一样,每个用户与 eBay 的互动都是从登录网站并进行身份验证开始的,即验证他们的身份。然而,使用用户名和密码的典型身份验证序列影响了用户体验——同时使eBay更容易受到不良行为者的攻击。用户经常忘记和重置他们的密码——这是一个令人沮丧的过程。由于许多买家和卖家在多个网站上对多个帐户使用相同的密码,任何这些网站的违规行为也可能使 eBay 遭到破坏。eBay 知道它需要使身份验证过程更加安全,但不能以牺牲用户体验为代价。
FIDO 协议
FIDO 协议(包括 FIDO UAF 和 FIDO2 规范)使用标准公钥加密技术而不是共享机密来提供更强大的身份验证和防止网络钓鱼和通道攻击的保护。这些协议也是从头开始设计的,以保护用户隐私。这些协议不提供可供不同在线服务用于跨服务协作和跟踪用户的信息,并且生物识别技术在使用时永远不会离开用户的设备。这一切都与通过登录时的简单操作(例如滑动手指、输入 PIN、对着麦克风讲话、插入第二要素设备或按下按钮)提供的用户友好和安全用户体验相平衡。
优先考虑安全性和用户方便性
为了在登录过程中增加一层额外的安全性,eBay 实施了短信一次性密码 (OTP)。尽管它有助于提供更安全的选择,但该方法增加了成本、用户摩擦,并且仍然容易受到某些安全问题的影响。
在审查了各种其他选项以提供简单、轻松和安全的用户身份验证体验后,eBay 决定推出 FIDO,以在其原生移动应用程序和基于浏览器的移动和网站上进行强身份验证。
实现标准的好处
FIDO 联盟和 FIDO 标准的实力,包括广泛的主要技术公司的参与,是 eBay 选择 FIDO 的另一个重要因素。
“为 eBay 用户身份验证选择 FIDO 标准不仅仅是简单地采用安全协议,”eBay 身份负责人 Ashish Jain 说。“eBay 在 190 个市场开展业务,拥有多元化的用户群。我们需要确保我们选择的任何技术都可以在各种浏览器和平台上一致地工作。”
eBay 的 FIDO 之旅:从推送到无密码
作为第一步,eBay 使用具有推送通知流的 FIDO UAF 协议实现了 FIDO 进行第二因素身份验证。这意味着,当用户使用用户名和密码登录 eBay 时,他们会收到来自移动 eBay 应用程序的通知以确认登录。作为选择加入功能实施,FIDO 立即获得了比之前的 SMS OTP 解决方案显着更高的选择加入率,验证了 FIDO 标准的易用性。
六个月后,在看到已经很快的用户采用率继续上升后,eBay 决定在无密码身份验证方面迈出下一步。为了进一步简化登录流程,该公司推出了 FIDO2 进行初级身份验证,不再需要用户进行第二步登录。
以下是它的工作原理:
· 当用户正常登录时,eBay 会检测设备是否支持 FIDO2。如果是这样,用户会收到一个弹出框,询问他们是否要注册无密码身份验证;
· 如果他们选择加入,用户将被要求注册他们的面部或指纹生物识别并自动注册;
· 下次用户登录时,他们需要做的就是展示他们的生物特征。无需用户名和密码。
为 eBay 及其用户实现利益
在实施 FIDO 不到一年的时间里,eBay 已经实现了它的好处:不仅选择加入率高于 SMS OTP,而且登录成功率和完成率也显着提高,尤其是在移动设备上。eBay 开始在 Android/Chrome 上推出 FIDO2/WebAuthn,此后扩展到 Mac、Windows 和 iOS。最近,eBay 还增加了对漫游身份验证器的支持,例如提供另一种访问 eBay 的安全方式的安全密钥。
期待完全无密码的未来
为了实现完全无密码的身份验证,eBay 必须有一个流程来在 FIDO 身份验证器丢失或用户添加新设备时恢复帐户。在典型的密码验证中,用户可以通过电子邮件/密码重置过程恢复他们的帐户,但从等式中删除密码提出了新的挑战。
据 Jain 说,解决这个问题是他的团队在未来六个月内的首要任务。
“今天,我们的用户可以通过选择加入 FIDO 来体验更快、更方便的登录体验,”Jain 观察到。“但为了充分实现 FIDO 的安全优势,我们期待完全禁用密码。通过一次一个步骤,并作为一个行业来寻找帐户恢复等问题的解决方案,我们相信我们会做到这一点。”
注1:本文内容参考自https://fidoalliance.org/
注2:本文如有侵权,请联系我们删除。
上海安当技术有限公司致力于开发身份认证、数据加密类产品,依托集中化、跨平台的密钥管理系统,专注于为金融、政府、企业等客户提供更加安全,便捷的身份认证管理和数据加密解决方案。公司主要产品及服务简称为4S:身份认证服务平台(Authentication Service Platform),密钥管理平台(Key Safe Platform),硬件加密机(Hardware Security Module),数据加密集成服务(Data Security Integration)。