前言

鉴于终端设备的多样性，使用FIDO规范的无密码方案在互联网上提供的公共服务上，短期内，最多只能成为可选项。在企业中，设备可控，强制使用FIDO已成为可能。企业内认证全面使用FIDO，可以规避掉基于账号的钓鱼风险。

认证器

认证器是FIDO的核心，用于本地认证及PassKey的生成、存储及相关计算。FIDO定义了认证器的等级，根据不同的等级，对认证器的软件和硬件提出了相对应的要求。但是无论是哪个等级，均未对本地认证的方式进行定义，部分认证器不能防范近源攻击。

常用认证器：

Windows Hello：WindowsHello 提供了使用人脸、指纹或 PIN的个性化登录方式，除了用于登录Windows本身，也可以作为WebAuthn认证器来登录网站。使用Windows Hello的系统，均可使用PIN码方式登录。

指纹认证：通常设备自带

手机APP：在手机上安装认证器软件提供认证

外置认证器：能常以USB Dongle的方式提供的硬件。可作为在电脑没有可用的认证器时的补充方案，企业内也可以作为安全管控的方案。

常见外置认证器：

1.yubikey：由Yubico公司生产的一系列USB安全狗，均支持FIDO规范，在海外使用比较广泛。缺点是国内比较难采购到，且成本很高。

2.solokey：solo是款开源的安全狗，支持FIDO规范。solo的软件与硬件全部开源，如果有较大的需求量的话，可以直接在国内找工厂生产。

3.OpenSK：OpenSK是Google开源的基于nRF52840芯片的FIDO规范的实现。已支持以下硬件：

• Nordic nRF52840-DK：Nordic官方的开发板，如果不需要学习nRF52840的开发，不推荐
• Nordic nRF52840 Dongle：Nordic官方出的USB Dongle
• Makerdiary nRF52840-MDK USB dongle：国产，可以比较方便采购到。使用了UF2 BootLoader，可以不安装任何软件即可烧录固件，是OpenSK支持的硬件中，性价比最高的。
• Feitian OpenSK dongle

WebAuthn流程

1.注册

2.登录

协议细节可以参考https://webauthn.guide/。在https://webauthn.io/上可以找到开源的客户端及服务端的库，不用深入了解协议细节，只要知道流程即可进行开发。

企业内实施

1.统一登录入口

WebAuthn的注册是按域名来的，如果企业内部有多个登录入口，势必会导致用户需要在多个地方注册，从而影响用户体验和管理。如果想达到的效果，在实施前需要先统一登录入口

2.资产分析

分析现阶段企业资产支持FIDO情况，以及是否需要采用外置认证器。如果要使用外置认证器，少量建议直接采购硬件，大量的话，建议找工厂生产。

3.开发及推广

开发属于最简单的，有现成库，就几十行代码的事

总结：

FIDO技术已经成熟，可在企业内推广，使用FIDO可以较好地降低钓鱼风险，方案设计的好的话，还可以大大提升员工的登录体验。

本文作者：一乐@涂鸦智能安全实验室