Эта статья призвана прояснить определения FIDO, FIDO2, Security Key и рекомендованные практики использования аппаратных кошельков OneKey в качестве Security Key.
Что такое Security Key?
"Security Key" (ключ безопасности) — это физическое устройство, реализующее стандарт FIDO для двухфакторной (2FA), многофакторной (MFA) или беспарольной аутентификации. При входе на сервис, поддерживающий FIDO, вы можете добавить ключ безопасности как дополнительный метод аутентификации к вашим парольным фразам (биометрическим идентификаторам или приложениям-аутентификаторам).
Протокол
|
Поддерживаемые устройства
|
FIDO U2F
|
Все модели аппаратных кошельков OneKey
|
FIDO2
|
OneKey Pro, OneKey Touch, OneKey 1S
|
Обратите внимание, что все модели аппаратных кошельков OneKey в настоящее время только поддерживают аутентификацию FIDO/FIDO2 через USB-подключение.
Что такое аутентификация FIDO и FIDO2?
FIDO (Fast IDentity Online) — это открытый стандарт, разработанный для упрощения и усиления процессов аутентификации. Стандарт, первоначально разработанный Google и Yubico при поддержке NXP Semiconductors, в настоящее время поддерживается FIDO Alliance и направлен на снижение зависимости от паролей, которые могут быть слабыми и легко скомпрометированы. Вместо этого FIDO использует криптографию с открытым ключом для обеспечения надежной аутентификации, устойчивой к фишингу.
FIDO2 — это новейший набор спецификаций от FIDO Alliance и Консорциума Всемирной паутины (W3C). Он основан на оригинальном стандарте FIDO U2F (Universal 2nd Factor) и включает два основных компонента:
WebAuthn (Web Authentication): API, который позволяет веб-приложениям выполнять беспарольную аутентификацию, аутентификацию по токенам и двухфакторную аутентификацию (2FA) с использованием криптографии с открытым ключом.
CTAP (Client to Authenticator Protocol): Протокол, который позволяет внешним устройствам (таким как аппаратные токены) взаимодействовать с браузерами через стандартизированные интерфейсы.
Ключевые различия между FIDO и FIDO2:
Беспарольная аутентификация: FIDO2 расширяет возможности FIDO U2F, позволяя входить в систему без пароля, что FIDO U2F не поддерживает.
Более широкая веб-интеграция: С введением WebAuthn, FIDO2 разработан для бесшовной интеграции с веб-приложениями, что упрощает его внедрение на различных платформах и сервисах.
Улучшенные функции безопасности: FIDO2 предлагает более надежную защиту от фишинговых атак и других форм кражи учетных данных.
Использование устройств OneKey в качестве ключей безопасности
Наши аппаратные кошельки OneKey разработаны для обеспечения надежных функций безопасности, включая поддержку FIDO и FIDO2. Вот общий рабочий процесс использования аппаратного кошелька OneKey в качестве ключа безопасности FIDO для веб-аутентификации:
Регистрация вашего устройства OneKey:
Подключите ваш аппаратный кошелек OneKey (через USB) к компьютеру.
Перейдите в настройки безопасности веб-сервиса, который вы хотите использовать (например, Google, Facebook или любой другой поддерживаемый сервис).
Выберите опцию добавления ключа безопасности и следуйте инструкциям для регистрации вашего устройства OneKey.
Аутентификация с помощью вашего устройства OneKey:
Выберите ключ безопасности в качестве метода проверки.
Подключите ваш аппаратный кошелек OneKey к устройству с помощью кабеля.
Здесь, на примере аккаунта Google, выберите опцию добавления ключа безопасности и нажмите "Использовать другое устройство".
В этот момент устройство запросит авторизацию нового ключа безопасности (на примере OneKey Pro).
После подтверждения на веб-странице появится уведомление об успешном создании ключа безопасности.
Рекомендуемые практики и уведомления
Во избежание блокировки в ваших любимых веб-сервисах из-за утери/сброса аппаратного кошелька, пожалуйста, настройте дополнительные методы проверки (например, FaceID, TouchID) в дополнение к вашему ключу безопасности аппаратного кошелька.
Только фразы восстановления не могут восстановить FIDO/FIDO 2: FIDO и крипто-кошельки полагаются на фразы восстановления для восстановления пар ключей (открытых и закрытых ключей), но в отличие от крипто-активов, ключи аутентификации FIDO также зависят от информации, специфичной для аппаратного устройства, такой как серийный номер. Одна и та же фраза восстановления на разных аппаратных кошельках может привести к несоответствию с требуемой парой ключей аутентификации FIDO2, что приведет к неудачному входу. Например: аккаунты Google и Binance не распознают одинаковые фразы восстановления на разных аппаратных кошельках как один и тот же ключ безопасности.
Принцип счетчика в FIDO2: Счетчик в FIDO2 используется для предотвращения атак повторного воспроизведения. Как сервер аутентификации (веб-сервис, в который вы пытаетесь войти), так и устройство (например, аппаратный кошелек) считают и ведут учет каждого запроса на аутентификацию, чтобы предотвратить "атаки повторного воспроизведения". Для серверов, использующих "принцип счетчика", сброс аппаратного кошелька вызывает несоответствие между записями счетчика на сервере и в аппаратном кошельке, что приводит к сбою входа с тем же устройством (после сброса) и теми же фразами.
Для получения дополнительной помощи или подробных инструкций, пожалуйста, обратитесь к нашему Справочному центру или свяжитесь с нашей службой поддержки. Оставайтесь в безопасности с OneKey!