Bài viết này nhằm mục đích làm rõ các định nghĩa FIDO, FIDO2, Khóa Bảo Mật và các đề xuất thực hành cho ví Phần cứng OneKey với tư cách là Khóa Bảo Mật.
Khóa Bảo Mật là gì?
Khóa Bảo Mật là một thiết bị vật lý thực hiện tiêu chuẩn FIDO để cung cấp xác thực hai yếu tố (2FA), đa yếu tố (MFA) hoặc xác thực không mật khẩu. Khi bạn đăng nhập vào một dịch vụ hỗ trợ FIDO, bạn có thể thêm Khóa Bảo Mật làm phương thức xác thực bổ sung cho khóa truy cập của bạn (ID sinh trắc học hoặc ứng dụng xác thực).
Giao thức
|
Thiết bị được hỗ trợ
|
FIDO U2F
|
Tất cả các mẫu ví phần cứng OneKey
|
FIDO2
|
OneKey Pro, OneKey Touch, OneKey 1S
|
Xin lưu ý rằng tất cả các mẫu ví phần cứng OneKey hiện tại chỉ hỗ trợ xác thực FIDO/FIDO2 qua kết nối USB.
Xác thực FIDO và FIDO2 là gì?
FIDO (Fast IDentity Online) là một tiêu chuẩn mở được thiết kế để đơn giản hóa và tăng cường các quy trình xác thực. Tiêu chuẩn này, ban đầu được thiết kế bởi Google và Yubico với sự hỗ trợ từ NXP Semiconductors, hiện nay được FIDO Alliance lưu trữ, nhằm mục đích giảm sự phụ thuộc vào mật khẩu, vốn có thể yếu và dễ bị xâm phạm. Thay vào đó, FIDO sử dụng mật mã khóa công khai để cung cấp xác thực mạnh mẽ, chống lừa đảo.
FIDO2 là bộ thông số kỹ thuật mới nhất từ FIDO Alliance và World Wide Web Consortium (W3C). Nó xây dựng dựa trên tiêu chuẩn FIDO U2F (Universal 2nd Factor) ban đầu và bao gồm hai thành phần chính:
WebAuthn (Web Authentication): Một API cho phép các ứng dụng web thực hiện xác thực không mật khẩu, xác thực dựa trên token và xác thực yếu tố thứ hai (2FA) bằng mật mã khóa công khai.
CTAP (Client to Authenticator Protocol): Một giao thức cho phép các thiết bị bên ngoài (như token phần cứng) tương tác với trình duyệt thông qua các giao diện tiêu chuẩn hóa.
Sự khác biệt chính giữa FIDO và FIDO2:
Xác thực không mật khẩu: FIDO2 mở rộng khả năng của FIDO U2F bằng cách cho phép đăng nhập không mật khẩu, điều mà FIDO U2F không hỗ trợ.
Tích hợp web rộng hơn: Với sự ra đời của WebAuthn, FIDO2 được thiết kế để tích hợp liền mạch với các ứng dụng web, giúp việc triển khai trên nhiều nền tảng và dịch vụ khác nhau trở nên dễ dàng hơn.
Tính năng bảo mật nâng cao: FIDO2 cung cấp khả năng bảo vệ mạnh mẽ hơn chống lại các cuộc tấn công lừa đảo và các hình thức đánh cắp thông tin đăng nhập khác.
Sử dụng thiết bị OneKey làm Khóa Bảo Mật
Ví phần cứng OneKey của chúng tôi được thiết kế để cung cấp các tính năng bảo mật mạnh mẽ, bao gồm hỗ trợ FIDO và FIDO2. Dưới đây là quy trình chung để sử dụng ví phần cứng OneKey làm Khóa Bảo Mật FIDO để xác thực web:
Đăng ký Thiết bị OneKey của bạn:
Kết nối ví phần cứng OneKey của bạn (qua USB) với máy tính.
Truy cập cài đặt bảo mật của dịch vụ web bạn muốn sử dụng (ví dụ: Google, Facebook hoặc bất kỳ dịch vụ nào được hỗ trợ).
Chọn tùy chọn thêm khóa bảo mật và làm theo hướng dẫn để đăng ký thiết bị OneKey của bạn.
Xác thực bằng Thiết bị OneKey của bạn:
Chọn khóa bảo mật làm phương thức xác minh.
Kết nối ví phần cứng OneKey của bạn với thiết bị của bạn qua cáp.
Tại đây, lấy tài khoản Google làm ví dụ, chọn tùy chọn thêm khóa bảo mật và nhấp vào "Sử dụng thiết bị khác".
Lúc này, thiết bị sẽ yêu cầu ủy quyền khóa bảo mật mới (lấy ví dụ là OneKey Pro).
Sau khi xác nhận, trang web sẽ hiển thị là khóa bảo mật đã được tạo thành công.
Thực hành và Lưu ý Khuyến nghị
Để tránh bị khóa: bởi các dịch vụ web yêu thích của bạn do mất/reset ví phần cứng, vui lòng thiết lập thêm các phương thức xác minh bổ sung (ví dụ: FaceID, TouchID) ngoài khóa bảo mật ví phần cứng của bạn.
Chỉ cụm khôi phục không thể khôi phục FIDO/FIDO 2: FIDO và ví tiền điện tử đều dựa vào cụm khôi phục để khôi phục cặp khóa (khóa công khai và khóa riêng tư) nhưng không giống như tài sản tiền điện tử, khóa xác thực FIDO cũng bị ảnh hưởng bởi thông tin dành riêng cho thiết bị phần cứng như số serial. Cùng một cụm khôi phục trên các ví phần cứng khác nhau có thể dẫn đến sự không khớp với cặp khóa xác thực FIDO2 được yêu cầu - do đó đăng nhập thất bại. Ví dụ: Tài khoản Google và Binance sẽ không nhận diện cùng một cụm khôi phục trên các ví phần cứng khác nhau là cùng một khóa bảo mật.
Nguyên tắc Bộ đếm trong FIDO2: Bộ đếm trong FIDO2 được sử dụng để ngăn chặn các cuộc tấn công replay. Cả máy chủ xác thực (dịch vụ web bạn đang cố gắng đăng nhập) và thiết bị (ví dụ: ví phần cứng) đều đếm và lưu giữ hồ sơ của mỗi yêu cầu xác thực để ngăn chặn "tấn công replay". Đối với các máy chủ đã áp dụng Nguyên tắc "Bộ đếm", việc reset ví phần cứng sẽ tạo ra sự không khớp giữa các hồ sơ bộ đếm trên máy chủ và ví phần cứng - do đó đăng nhập thất bại với cùng một thiết bị (đã reset) và cùng một cụm.
Để được hỗ trợ thêm hoặc hướng dẫn chi tiết, vui lòng tham khảo Trung tâm Trợ giúp của chúng tôi hoặc liên hệ với nhóm hỗ trợ của chúng tôi. Hãy bảo mật với OneKey!