在互聯網世界,驗證用戶身份是一個常見又重要的場景,應用最廣泛的方式當屬帳號密碼驗證。隨著開發者對身份驗證安全性要求不斷提升,加之用戶更加註重過程中的隱私與便捷,身份驗證的方式逐漸多樣化,有動態令牌、簡訊驗證碼、生物特征認證等方式。本文主要從安全性的角度,探討幾種常見身份驗證方式存在的安全漏洞,為開發 ...
在互聯網世界,驗證用戶身份是一個常見又重要的場景,應用最廣泛的方式當屬帳號密碼驗證。隨著開發者對身份驗證安全性要求不斷提升,加之用戶更加註重過程中的隱私與便捷,身份驗證的方式逐漸多樣化,有動態令牌、簡訊驗證碼、生物特征認證等方式。本文主要從安全性的角度,探討幾種常見身份驗證方式存在的安全漏洞,為開發者們提供更具優勢的解決方案。
常見身份驗證方式的在安全性方面的隱患如下:
既然靜態和動態密碼的驗證方式都存在漏洞,那麼身份驗證是否可以不依賴於密碼?
其實,在很早之前,就有人開始設想“無密碼登錄”。當然,“無密碼登錄”並不等於沒有密碼,而是用新的身份驗證方式,來取代現有密碼驗證體系。HMS Core 線上快速身份驗證服務(HMS Core FIDO)基於這個出發點,為開發者提供了一種更具優勢的解決方案:無密碼的用戶身份驗證,提供本地生物特征認證和線上快速身份驗證能力,可用於用戶登錄、購買支付等場景,同時,通過系統完整性檢測和密鑰校驗機制,來保證驗證結果安全可信。實現流程如下。
從安全性上來說,首先,HMS Core FIDO避免了用戶手動輸入帳號密碼,因此不必擔心帳號密碼泄露的風險。
其次,使用HMS Core FIDO並不需要用戶隨身攜帶額外的第二驗證設備。App可以通過用戶手機內置的組件驗證用戶身份,如指紋驗證器、3D面容感測器、虹膜驗證器等。如果App希望加強驗證,除了使用或插入第二設備之外,用戶的手機就可以直接作為安全密鑰硬體,完成身份驗證。一臺手機,支持多種驗證場景,用戶無需攜帶額外的設備,HMS Core FIDO不僅改善了用戶體驗,同時也降低了互聯網服務提供商的部署成本。
最後,在驗證過程中使用到的用戶生物特征信息絕不會離開用戶設備,僅本地解鎖後才可使用,因此不必擔心從服務端泄露用戶數據。
除了提供安全身份驗證,HMS Core FIDO也能幫助開發者優化用戶體驗。
HMS Core FIDO協議始終圍繞保護用戶隱私來設計,這些協議不會向在互聯網平臺提供可用於跟蹤用戶的信息,如果採用生物特征識別技術,用戶生物特征信息絕不會離開用戶設備。這一點相較於傳統的生物特征認證方式,在安全隱私保護方面有了很大的改進,因為傳統的生物特征認證會將用戶數據採集到服務端,一旦服務端數據發生泄漏,將造成嚴重後果。從用戶的角度來說,隱私體驗得到了極大的改善。
在身份驗證過程中,用戶操作簡單,過程流暢無間斷,無需耗費太多時間去等待,如接受驗證碼、輸入密碼等。
HMS Core FIDO的應用場景
目前,FIDO技術已經得到了全球設備廠商、互聯網服務提供商的廣泛認可,包括一些大型銀行等金融機構、政府網路平臺等等,成熟應用於涉及資金變動的高安場景,如:購物網站或者App購買支付、數字貨幣轉賬、手機銀行(網上銀行)中的大額交易,等等。就使用流程舉例來說,App在用戶登錄時檢測設備是否支持HMS Core FIDO,如果支持,App可引導用戶開通指紋或3D面容登錄,用戶在下次登錄時只需要驗證指紋或3D面容即可。
HMS Core FIDO是基於FIDO規範面向海內外開發者提供的開放能力,能夠幫助互聯網服務提供商的身份驗證過程更安全、更簡單,同時還能收穫更好的用戶體驗。FIDO全稱為Fast Identity Online規範,是由FIDO聯盟推出並持續維護一套身份驗證框架協議,它使用標準公鑰密碼學技術,提供更強有力的身份驗證方式。
點擊進入HMS Core FIDO官網,獲取開髮指導文檔,體驗優質的身份驗證能力。
瞭解更多詳情>>
訪問華為開發者聯盟官網
獲取開髮指導文檔
華為移動服務開源倉庫地址:GitHub、Gitee
關註我們,第一時間瞭解 HMS Core 最新技術資訊~