В этой статье мы разъясним определения FIDO, FIDO2, Security Key и рекомендуемые практики использования аппаратных кошельков OneKey в качестве Security Key.
Что такое Security Key?
Security Key — это физическое устройство, реализующее стандарт FIDO для двухфакторной (2FA), многофакторной (MFA) или беспарольной аутентификации. Когда вы входите в сервис, поддерживающий FIDO, вы можете добавить Security Key как дополнительный метод аутентификации к своим passkeys (биометрическим идентификаторам или приложениям-аутентификаторам).
Протокол
|
Поддерживаемые устройства
|
FIDO U2F
|
Все модели аппаратных кошельков OneKey
|
FIDO2
|
OneKey Pro, OneKey Touch, OneKey 1S
|
Обратите внимание, что все модели аппаратных кошельков OneKey в настоящее время поддерживают аутентификацию FIDO/FIDO2 только через USB-соединение.
Что такое аутентификация FIDO и FIDO2?
FIDO (Fast IDentity Online) — это открытый стандарт, разработанный для упрощения и усиления процессов аутентификации. Стандарт, изначально разработанный Google и Yubico при поддержке NXP Semiconductors, в настоящее время находится под эгидой FIDO Alliance и направлен на снижение зависимости от паролей, которые могут быть слабыми и легко скомпрометированными. Вместо этого FIDO использует криптографию с открытым ключом для обеспечения надежной аутентификации, устойчивой к фишингу.
FIDO2 — это последний набор спецификаций от FIDO Alliance и World Wide Web Consortium (W3C). Он основан на исходном стандарте FIDO U2F (Universal 2nd Factor) и включает два основных компонента:
WebAuthn (Web Authentication): API, позволяющий веб-приложениям выполнять беспарольную аутентификацию, аутентификацию по токенам и аутентификацию от второго фактора (2FA) с использованием криптографии с открытым ключом.
CTAP (Client to Authenticator Protocol): Протокол, позволяющий внешним устройствам (таким как аппаратные токены) взаимодействовать с браузерами через стандартизированные интерфейсы.
Ключевые различия между FIDO и FIDO2:
Беспарольная аутентификация: FIDO2 расширяет возможности FIDO U2F, позволяя выполнять вход без пароля, что FIDO U2F не поддерживает.
Более широкая веб-интеграция: С введением WebAuthn, FIDO2 разработан для бесшовной интеграции с веб-приложениями, что упрощает его внедрение в различных платформах и сервисах.
Улучшенные функции безопасности: FIDO2 предлагает более надежную защиту от фишинговых атак и других форм кражи учетных данных.
Использование устройств OneKey в качестве Security Key
Наши аппаратные кошельки OneKey разработаны для обеспечения надежных функций безопасности, включая поддержку FIDO и FIDO2. Ниже приведен общий рабочий процесс использования аппаратного кошелька OneKey в качестве FIDO Security Key для веб-аутентификации:
Регистрация вашего устройства OneKey:
Подключите ваш аппаратный кошелек OneKey (через USB) к компьютеру.
Перейдите в настройки безопасности веб-сервиса, который вы хотите использовать (например, Google, Facebook или любой поддерживаемый сервис).
Выберите опцию добавления ключа безопасности и следуйте инструкциям для регистрации вашего устройства OneKey.
Аутентификация с помощью вашего устройства OneKey:
Выберите ключ безопасности в качестве метода проверки.
Подключите ваш аппаратный кошелек OneKey к устройству через кабель.
Здесь, на примере аккаунта Google, выберите опцию добавления ключа безопасности и нажмите «Использовать другое устройство».
В этот момент устройство запросит подтверждение нового ключа безопасности (на примере OneKey Pro).
После подтверждения на веб-странице появится сообщение об успешном создании ключа безопасности.
Рекомендуемая практика и уведомления
Во избежание блокировки: ваших любимых веб-сервисов из-за утери/сброса аппаратного кошелька, пожалуйста, настройте дополнительные методы проверки (например, FaceID, TouchID) в дополнение к вашему ключу безопасности аппаратного кошелька.
Резервные фразы сами по себе не могут восстановить FIDO/FIDO 2: FIDO и крипто-кошельки полагаются на резервные фразы для восстановления пар ключей (открытого и закрытого), но в отличие от крипто-активов, ключи аутентификации FIDO также зависят от информации, специфичной для аппаратного устройства, такой как серийный номер. Один и тот же набор резервных фраз в разных аппаратных кошельках может привести к несоответствию с требуемой парой ключей аутентификации FIDO2 — следовательно, к неудачному входу. Например: аккаунты Google и Binance не распознают одни и те же резервные фразы в разных аппаратных кошельках как один и тот же ключ безопасности.
Принцип счетчика в FIDO2: счетчик в FIDO2 используется для предотвращения атак повторного воспроизведения. Как сервер аутентификации (веб-сервис, в который вы пытаетесь войти), так и устройство (например, аппаратный кошелек) подсчитывают и ведут учет каждого запроса на аутентификацию, чтобы предотвратить «атаки повторного воспроизведения». Для серверов, принявших «Принцип счетчика», сброс аппаратного кошелька приводит к несоответствию между записями счетчика на сервере и в аппаратном кошельке — следовательно, к неудачному входу с тем же устройством (после сброса) и теми же фразами.
Для получения дальнейшей помощи или подробных инструкций, пожалуйста, обратитесь в наш Справочный центр или свяжитесь с нашей службой поддержки. Оставайтесь в безопасности с OneKey!