2021年3月3日

易趣的FIDO无密码之旅

作为连接世界各地数以百万计的买家和卖家的全球商务领导者,eBay Inc.为个人、企业家、企业和各种规模的组织提供了经济机会。因为用户是其成功的核心,eBay强调为买家和卖家提供积极和安全的体验。

与大多数网站一样,每个用户与eBay的互动始于登录网站并验证自己的身份,也就是说,验证他们所说的是谁。然而,使用用户名和密码的典型身份验证序列影响了用户体验——同时使eBay更容易受到坏人的攻击。用户经常忘记和重置密码——这是一个令人沮丧的过程。而且由于许多买家和卖家在多个网站上的多个账户使用相同的密码,这些网站中的任何一个一旦被攻破,eBay也可能遭到攻击。eBay知道它需要使认证过程更加安全,但不能以牺牲用户体验为代价。

在狗的标准

FIDO协议,包括FIDO UAF和FIDO2规范,使用标准公钥加密技术,而不是共享秘密,以提供更强的认证和保护,防止网络钓鱼和信道攻击。这些协议也是为了保护用户隐私而设计的。该协议不提供可被不同的在线服务用于协作和跟踪用户的信息,而且生物识别技术在使用时不会离开用户的设备。这一切都与用户友好和安全的用户体验相平衡,通过一个简单的登录操作,如滑动手指,输入密码,对着麦克风说话,插入一个次要设备或按下一个按钮。

优先考虑安全性和用户旅程

为了给登录过程增加一层额外的安全,eBay实现了短信一次性密码(OTPs)。尽管它帮助提供了一个更安全的选择,但这种方法增加了成本,用户摩擦,而且仍然容易受到某些安全问题的影响。

为了提供简单、简单、安全的用户认证体验,eBay考虑了多种其他选择,决定推出FIDO,在其本地移动应用程序和基于浏览器的移动和网站上进行强认证。

eBay决定建立自己的开源FIDO服务器,他们认为这样可以最大限度地控制用户体验和端到端登录流程。这种方法还使eBay能够更好地管理其他登录选项,比如社交登录。

实现标准的好处

FIDO联盟和FIDO标准的实力,包括广泛的主要技术公司的参与,是eBay选择FIDO的另一个重要因素。

eBay身份识别部门负责人阿什•贾恩说:“选择FIDO标准作为eBay用户身份认证标准不仅仅是要采用一种安全协议那么简单。”“eBay在190个市场运营,拥有不同的用户群。我们需要确保我们选择的任何技术都能在不同的浏览器和平台上一致地工作。”

易趣的FIDO之旅:从推送到无密码

作为第一步,eBay使用带有推送通知流的FIDO UAF协议实现了用于第二因素认证的FIDO。这意味着,当用户用用户名和密码登录eBay时,他们会收到来自eBay移动应用程序的确认登录通知。FIDO作为一个可选择的特性实现后,立即获得了比之前的SMS OTP解决方案更高的选择加入率,验证了FIDO标准的易用性。

六个月后,在看到用户使用率持续快速上升后,eBay决定采取下一步的无密码认证。为了进一步简化登录流程,该公司推出了FIDO2主身份验证,不再要求用户进行第二步登录。它是这样工作的:

  • 当用户正常登录时,eBay检测设备是否支持FIDO2。如果是,用户将收到一个弹出框,询问他们是否愿意注册无密码身份验证;
  • 如果他们选择加入,用户被要求登记他们的面部或指纹生物特征,并自动登记;
  • 当用户下一次登录时,他们所需要做的就是展示他们的生物特征。无需用户名和密码。

为eBay和它的用户实现利益

在实施FIDO不到一年的时间里,eBay已经意识到了它的好处:不仅选择率比SMS OTPs高,而且登录的成功率和完成率也有了显著的提高,特别是在移动设备上。eBay开始在Android/Chrome上推出FIDO2/WebAuthn,后来扩展到Mac、Windows和iOS。最近,eBay还增加了对漫游身份验证的支持,比如安全密钥,为访问eBay提供了另一种安全方式。

期待一个完全无密码的未来

为了实现完全无密码的身份验证,eBay必须有一个流程,以便在FIDO身份验证器丢失或用户添加新设备时恢复帐户。在典型的密码验证中,用户可以通过电子邮件/密码重置过程恢复他们的帐户,但从等式中删除密码提出了一个新的挑战。

根据Jain的说法,解决这个问题是他的团队未来6个月的首要任务。

“今天,我们的用户可以通过选择FIDO来体验更快更方便的登录体验,”Jain说。“但为了充分认识到FIDO的安全好处,我们希望完全禁用密码。”通过一步一步的努力,作为一个行业来寻找解决问题的办法,比如客户回收,我们相信我们会做到的。”

查看易趣案例研究PDF文档在这里

更多的实现和部署


FIDO认证生命周期管理的IT管理员

对在线应用程序和服务的安全访问已经演变成……

2021年4月22日

认证器认证达到了一个新的里程碑与第一个L3+

一个重要的里程碑已经实现,…

2021年4月5日

易趣的FIDO无密码之旅

全球商业领袖连接数百万的买家和卖家…

2021年3月3日

国家卫生服务使用FIDO认证增强登录

为了让全英国的病人更容易更快捷

2021年2月24日
下载Authn规格
注册更新! 从FIDO联盟在你的收件箱获得新闻。

通过提交此表格,您同意接收以下信息:FIDO联盟,3855 SW 153 Drive,比弗顿,OR 97003,美国,//www.iamkira.com。雷竞技app下载雷竞技rebent你可以在任何时候通过使用每封邮件底部的“取消订阅”链接来撤销你的接收邮件的同意。