Bài viết này nhằm mục đích làm rõ các định nghĩa FIDO, FIDO2, Khóa Bảo mật và các phương pháp được đề xuất cho ví phần cứng OneKey như một Khóa Bảo mật.
Khóa Bảo mật là gì?
Khóa Bảo mật là một thiết bị vật lý triển khai tiêu chuẩn FIDO để cung cấp xác thực hai yếu tố (2FA), đa yếu tố (MFA) hoặc không cần mật khẩu. Khi bạn đăng nhập vào một dịch vụ hỗ trợ FIDO, bạn có thể thêm Khóa Bảo mật làm phương thức xác thực bổ sung cho khóa truy cập của mình (ID sinh trắc học hoặc ứng dụng xác thực).
Giao thức
|
Thiết bị được hỗ trợ
|
FIDO U2F
|
Tất cả các mẫu ví phần cứng OneKey
|
FIDO2
|
OneKey Pro, OneKey Touch, OneKey 1S
|
Xin lưu ý rằng tất cả các mẫu ví phần cứng OneKey hiện tại chỉ hỗ trợ xác thực FIDO/FIDO2 qua kết nối USB.
Xác thực FIDO và FIDO2 là gì?
FIDO (Fast IDentity Online) là một tiêu chuẩn mở được thiết kế để đơn giản hóa và tăng cường các quy trình xác thực. Tiêu chuẩn này, ban đầu được thiết kế bởi Google và Yubico với sự hỗ trợ từ NXP Semiconductors, hiện do FIDO Alliance quản lý, nhằm mục đích giảm sự phụ thuộc vào mật khẩu, vốn có thể yếu và dễ bị xâm phạm. Thay vào đó, FIDO sử dụng mật mã khóa công khai để cung cấp khả năng xác thực mạnh mẽ, chống lừa đảo.
FIDO2 là bộ thông số kỹ thuật mới nhất từ FIDO Alliance và World Wide Web Consortium (W3C). Nó được xây dựng dựa trên tiêu chuẩn FIDO U2F (Universal 2nd Factor) ban đầu và bao gồm hai thành phần chính:
WebAuthn (Web Authentication): Một API cho phép các ứng dụng web thực hiện xác thực không cần mật khẩu, xác thực dựa trên mã thông báo và xác thực yếu tố thứ hai (2FA) bằng mật mã khóa công khai.
CTAP (Client to Authenticator Protocol): Một giao thức cho phép các thiết bị bên ngoài (như khóa phần cứng) tương tác với trình duyệt thông qua các giao diện tiêu chuẩn hóa.
Sự khác biệt chính giữa FIDO và FIDO2:
Xác thực không cần mật khẩu: FIDO2 mở rộng khả năng của FIDO U2F bằng cách cho phép đăng nhập không cần mật khẩu, điều mà FIDO U2F không hỗ trợ.
Tích hợp Web rộng hơn: Với việc giới thiệu WebAuthn, FIDO2 được thiết kế để tích hợp liền mạch với các ứng dụng web, giúp việc triển khai trên nhiều nền tảng và dịch vụ khác nhau trở nên dễ dàng hơn.
Tính năng bảo mật nâng cao: FIDO2 cung cấp khả năng bảo vệ mạnh mẽ hơn chống lại các cuộc tấn công lừa đảo và các hình thức đánh cắp thông tin xác thực khác.
Sử dụng thiết bị OneKey làm Khóa Bảo mật
Ví phần cứng OneKey của chúng tôi được thiết kế để cung cấp các tính năng bảo mật mạnh mẽ, bao gồm hỗ trợ FIDO và FIDO2. Dưới đây là quy trình chung để sử dụng ví phần cứng OneKey làm Khóa Bảo mật FIDO cho xác thực web:
Đăng ký thiết bị OneKey của bạn:
Kết nối ví phần cứng OneKey của bạn (qua USB) với máy tính.
Truy cập cài đặt bảo mật của dịch vụ web bạn muốn sử dụng (như Google, Facebook hoặc bất kỳ dịch vụ nào được hỗ trợ).
Chọn tùy chọn thêm khóa bảo mật và làm theo hướng dẫn để đăng ký thiết bị OneKey của bạn.
Xác thực bằng thiết bị OneKey của bạn:
Chọn khóa bảo mật làm phương thức xác minh.
Kết nối ví phần cứng OneKey của bạn với thiết bị của bạn qua cáp.
Tại đây, lấy tài khoản Google làm ví dụ, chọn tùy chọn thêm khóa bảo mật và nhấp vào "Sử dụng thiết bị khác".
Lúc này, thiết bị sẽ yêu cầu ủy quyền khóa bảo mật mới (lấy ví dụ OneKey Pro).
Sau khi xác nhận, trang web sẽ báo rằng khóa bảo mật đã được tạo thành công.
Thực hành và Lưu ý được Khuyến nghị
Để tránh bị khóa: bởi các dịch vụ web yêu thích của bạn do mất/đặt lại ví phần cứng, vui lòng thiết lập thêm các phương thức xác minh bổ sung (ví dụ: FaceID, TouchID) ngoài khóa bảo mật của ví phần cứng.
Cụm khôi phục chỉ không thể khôi phục FIDO/FIDO 2: FIDO và ví tiền điện tử đều dựa vào cụm khôi phục để khôi phục các cặp khóa (khóa công khai và khóa riêng tư) nhưng không giống như tài sản tiền điện tử, các khóa xác thực FIDO cũng bị ảnh hưởng bởi thông tin cụ thể của thiết bị phần cứng như số sê-ri. Cùng một bộ cụm khôi phục trong các ví phần cứng khác nhau có thể dẫn đến sự không khớp với cặp khóa xác thực FIDO2 cần thiết - do đó đăng nhập thất bại. Ví dụ: tài khoản Google và Binance sẽ không nhận dạng cùng một cụm khôi phục trong các ví phần cứng khác nhau là khóa bảo mật giống nhau.
Nguyên tắc Bộ đếm trong FIDO2: Bộ đếm trong FIDO2 được sử dụng để ngăn chặn các cuộc tấn công phát lại. Cả máy chủ xác thực (dịch vụ web bạn đang cố gắng đăng nhập) và thiết bị (ví dụ: ví phần cứng) đều đếm và lưu giữ hồ sơ của mỗi yêu cầu xác thực để ngăn chặn "cuộc tấn công phát lại". Đối với các máy chủ đã áp dụng Nguyên tắc "Bộ đếm", việc đặt lại ví phần cứng sẽ tạo ra sự không khớp giữa các bản ghi bộ đếm trong máy chủ và ví phần cứng - do đó đăng nhập thất bại với cùng một thiết bị (đã đặt lại) và cùng các cụm từ.
Để được hỗ trợ thêm hoặc hướng dẫn chi tiết, vui lòng tham khảo Trung tâm trợ giúp của chúng tôi hoặc liên hệ với nhóm hỗ trợ của chúng tôi. Hãy giữ an toàn với OneKey!