什么是 WebAuthn 中的 CDA(跨设备身份验证)?
探索 CDA(跨设备身份验证),这是一种使用通行密钥在设备间进行身份验证的方法。
本页由自动翻译生成。请阅读英文原文 此处.
什么是 CDA(跨设备身份验证)?#
CDA(跨设备身份验证,Cross-Device Authentication)允许用户在一台设备上使用来自另一台设备的通行密钥进行身份验证,从而实现在各种平台上的无缝访问。这种创新方法以 FIDO 客户端到身份验证器协议 (CTAP) 为基础,该协议采用“混合”传输机制。CTAP 是 CDA 流程不可或缺的一部分,由身份验证器和客户端平台(而不是信赖方)实施,可确保安全高效的身份验证体验。
您还可以在这篇博客文章中阅读有关跨设备身份验证的详细报告。
核心要点#
- CDA 允许在不同的设备和平台上使用通行密钥,从而提高了用户的便利性。
- CDA 与通过云帐户在设备间同步通行密钥不同。
- 它利用 FIDO 的 CTAP 和“混合”传输机制来实现安全身份验证。
- CDA 利用扫描 QR 码来配对设备,并使用蓝牙进行近距离检查。
CDA(跨设备身份验证)对于在用户跨多台设备访问服务时提供无摩擦的体验非常重要。它围绕两个关键组件展开:CDA 客户端和 CDA 身份验证器。
- CDA 客户端 是访问服务的设备(例如笔记本电脑、台式机或智能手机)。
- CDA 身份验证器 是提供通行密钥并生成 FIDO 断言的设备(通常是智能手机或平板电脑)。这种双重性确保了身份验证流程保持安全且对用户友好。
深入了解 CDA 机制#
跨设备身份验证 (CDA) 集成了 QR 码和蓝牙,以提供一种通用且安全的身份验证机制。QR 码通过快速扫描以建立身份验证请求,从而促进轻松的、由用户发起的身份验证流程。蓝牙通过确保所涉及设备之间的物理接近性增加了一层安全性。这种双重方法将易用性与强大的安全措施相结合,以满足各种用户环境和场景的需求。
QR 码身份验证#
- **启动:**在需要进行身份验证的设备上生成一个唯一的 QR 码,并使用会话标识符进行编码。
- **流程:**用户使用存储了其通行密钥的设备扫描该 QR 码,通过加密的互联网连接触发安全的身份验证过程。
- **安全功能:**该 QR 码专为一次性使用而设计,并且对所有数据进行加密以防止未经授权的访问。
订阅我们的 Passkeys Substack,获取最新消息。
蓝牙身份验证 (caBLE)#
- **作用:**确认身份验证设备之间的物理接近性,增加额外的安全层。
- **近距离检查:**确保身份验证过程仅在设备彼此靠近时进行,从而最大限度地降低远程攻击的风险。
- **隐私和安全:**不涉及敏感身份验证数据的交换,而是专注于将确认近距离作为多因素身份验证中的一个因素。
通过互联网建立隧道连接#
- **激活:**在扫描 QR 码或建立蓝牙连接时激活。
- **目的:**促进身份验证安全传输,包括加密质询和响应。
- **安全性:**确保通过隧道的所有通信都经过加密,从而增强跨多个设备的安全性。
同步通行密钥与跨设备身份验证#
通行密钥通常通过云帐户(例如 Apple 的 iCloud 钥匙串)在设备之间同步,确保它们无论在使用哪种设备进行身份验证时都随时可用。这种同步由高级加密提供保护,并受到生物识别数据或 PIN 码的保护,并制定了防止未经授权访问的机制,例如限制登录尝试的速率。
虽然同步通行密钥提供了便利,但在新的或非主要设备上它们可能并非总是可访问。跨设备身份验证解决了这一挑战,它在设备间为通行密钥提供了一座安全桥梁,而无需云帐户同步。该方法利用 QR 码来启动身份验证,并利用蓝牙来验证设备的近距离,从而确保安全和用户友好的体验。跨设备身份验证的一个用例是(例如)在朋友的设备上登录帐户,此时无法使用同步的通行密钥。
操作系统上的可用性#
您可以使用此表格查看不同操作系统目前对跨设备身份验证的支持情况。身份验证器意味着该设备可以用作保存通行密钥的设备(通常是智能手机)。客户端意味着创建 QR 码且用户尝试登录的设备(通常是台式机)。
在 Passkeys Debugger 中体验 passkey 流程。
不同设备上的行为#
重要的是要考虑在 CDA 环境中设备的不同行为。身份验证体验可能会因设备的硬件功能而异,例如是否存在用于扫描 QR 码的摄像头,或者是否具有用于近距离检查的蓝牙。此外,操作系统可能会以不同的方式实施 CDA,从而影响用户启动和完成身份验证流程的方式。实施 CDA 的开发人员必须考虑这些可变性,以确保在所有设备上提供顺畅且安全的用户体验。在相关博客文章中可查看有关不同设备行为的详细报告。
跨设备身份验证 (CDA) 常见问题解答#
在不同设备之间共享通行密钥是否安全?#
通行密钥共享采用强大的安全措施来保护数据。这种方法对于用更安全、更方便的替代方案取代密码至关重要,符合 FIDO 在速度、便利性和安全性维度增强登录流程的使命。
CDA 在各个操作系统平台上的可用性如何?#
随着对通行密钥的支持逐渐引入,跨设备身份验证 (CDA) 正迅速在广泛的操作系统和浏览器中变得可用。关于可用性的概览可以在此网站上找到。
通行密钥如何在使用者的各个设备上变得可用?#
通行密钥通过与用户平台帐户(例如 Apple ID、Google 帐户)绑定的端到端加密机制在设备间进行同步。这确保了在一台设备上创建的通行密钥可在登录到同一帐户的所有其他设备上随时可用,从而便于在用户的数字生态系统中进行轻松、安全的访问。
CDA 与同步通行密钥有什么区别?#
混合传输允许跨设备进行安全身份验证,而无需通过云帐户同步通行密钥,提供了灵活性,并使通行密钥的完整性仅掌握在用户手中。
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case study为什么 CDA 要同时使用 QR 码和蓝牙?#
CDA 采用 QR 码和蓝牙来增强安全性和便利性。QR 码简化了身份验证的启动,而蓝牙则确保了设备的物理接近性,增加了一层额外的安全性。
CDA 可以在没有互联网连接的情况下工作吗?#
虽然 CDA 的初始设置和身份验证过程需要互联网连接,但用于身份验证的蓝牙近距离检查不依赖互联网连接,这增强了它的多功能性。
使用 CDA 有哪些硬件要求?#
设备必须支持 WebAuthn,配有用于扫描 QR 码的摄像头,支持蓝牙 4.0 或更高版本以进行 caBLE 验证,并保持稳定的互联网连接以便有效促进 CDA 流程。
关于 Corbado
Corbado 是面向大规模运行 consumer 身份验证的 CIAM 团队的Passkey Intelligence Platform。我们让你看到 IDP 日志和通用 analytics 工具看不到的内容:哪些设备、操作系统版本、浏览器和 credential manager 支持 passkey,为什么注册没有转化为登录,WebAuthn 流程在哪里失败,以及什么时候操作系统或浏览器更新会悄悄破坏登录 — 而且无需替换 Okta、Auth0、Ping、Cognito 或你自有的 IDP。两款产品:Corbado Observe 提供 针对 passkey 及任何其他登录方式的 observability。Corbado Connect 提供 内置 analytics 的 managed passkey(与你的 IDP 并存)。VicRoads 通过 Corbado 为 500 万以上用户运行 passkey(passkey 激活率 +80%)。 与 Passkey 专家交谈 →
分享本文
目录
相关文章
