atsec增加FIDO评估资质

2024-04-11

atsec信息安全（以下简称“atsec”）获得了FIDO联盟的资质授权，成为FIDO安全评估实验室，从而可以为FIDO认证器产品执行安全评估。授权信息可以通过FIDO联盟官网链接进行查询: https://fidoalliance.org/certification/authenticator-certification-levels/accredited-security-laboratories/。

在当今网络世界，每个用户平均拥有多达90个在线账户，并且51%的密码在这些账户间被重复使用。密码已经成为目前网络安全的主要问题，是超过80%数据泄露的根本原因。根据FIDO联盟的研究，单次密码重置的平均成本高达70美元。

FIDO（Fast IDentity Online，在线快速身份识别）提供了一系列身份认证标准以减少对密码的依赖。作为FIDO联盟授权的安全评估实验室，atsec可以为您的认证器产品提供如下安全评估服务：

• FIDO2：FIDO2由W3C网络身份认证规范（WebAuthn：Web Authentication）和FIDO联盟相应的客户端到认证器协议（CTAP：Client-to-Authenticator Protocols）组成。

  o WebAuthn：WebAuthn定义了一系列标准Web API，目前已经被内置到浏览器和平台中，以实现对FIDO身份认证的支持。
  o CTAP2：CTAP2允许在支持FIDO2的浏览器和操作系统上通过USB、NFC或BLE使用外部认证器（FIDO安全密钥、移动设备）进行认证，用来实现无密码、第二因素或多因素身份认证。
  o CTAP1：CTAP1是FIDO U2F的新名称，它允许在支持FIDO2的浏览器和操作系统上通过USB、NFC或BLE使用现有的FIDO U2F设备（如 FIDO安全密钥）进行身份认证，用来实现第二因素。

• FIDO UAF：通过任意一种本地认证机制，如指纹识别、面部识别、声纹识别、输入PIN码等，FIDO UAF可以支持在用户设备上实现在线服务的无密码认证方式。

上述FIDO2以及FIDO UAF协议一共定义了16个安全目标（Security Goals），这些安全目标通过29项安全措施（Security Measures）来实现，并最终导出10个安全要求（Security Requirements）如下：

• 认证器定义的衍生要求
• 密钥管理和认证器安全参数
• 认证器对用户存在和用户验证的测试
• 隐私
• 物理安全、侧信道攻击抵抗和故障注入抵抗
• 证明
• 运行环境
• 自检和固件更新
• 制造和研发
• 操作指南

密码和其他形式的传统认证，如短信一次性密码（SMS OTP），是基于知识的认证形式，难以记忆，并且容易受到钓鱼、收集和重放攻击的影响。FIDO有助于从这种传统的、基于知识的认证场景转变为现代的、基于所有权、且抗钓鱼的认证场景。

对认证器产品按照FIDO标准进行安全评估，使供应商能够将其认证器集成到启用FIDO的现代化在线服务中，并为用户提供无缝的认证体验。同时这也减少了密码遗忘或被盗的风险。

atsec愿意与您合作，帮助您了解标准的要求，对您的认证器产品进行评估和测试，并获得FIDO认证。

同时，作为FIDO联盟（https://fidoalliance.org/members/）的成员之一，atsec期待能够为产业提供更多的贡献。

已完成并获得FIDO认证的产品可以通过FIDO联盟的官方网站进行查询：
https://fidoalliance.org/certification/fido-certified-products/。

有关atsec更多的服务信息，请访问：https://www.atsec.com/。