FIDO（在线快速身份验证）标准最初是为消费者市场设计的，旨在用更安全的在线服务身份验证方法取代密码。虽然最新版本（如 FIDO2.1）已经开始满足企业需求，但仍存在重大差距，组织必须解决这些差距才能简化、加速和确保其部署安全。

与消费者相比，企业在部署FIDO 安全密钥时面临着独特的挑战。例如，他们必须保护一系列数字资源，从传统系统到现代云应用程序。此外，员工使用各种计算设备，这进一步增加了 FIDO 密钥集成的复杂性。

此外，企业中用户数量庞大，使得 FIDO 密钥的部署和管理变得复杂。最后，企业必须遵守严格的安全和数据隐私法规，而 FIDO 标准必须支持这些法规。

企业部署 FIDO 密钥时面临的挑战

大型组织的 IT 安全专业人员在部署 FIDO 密钥时面临着用户体验、管理开销和安全性方面的多项挑战。这些包括：

用户体验和教育

• 学习曲线：从传统密码过渡到 FIDO 密钥需要用户适应新的身份验证方法。这种转变需要用户在行为和理解上做出重大改变，因为用户需要学习如何有效地处理和使用 FIDO 密钥。对这项新技术的任何不熟悉都可能导致困惑和沮丧，尤其是对于那些不懂技术的人来说。
• 初始设置：自行注册企业身份提供者 (IDP) 密钥对于非技术用户来说可能特别复杂。该过程通常需要大量 IT 支持来指导用户完成初始设置，并且在大型公司中可能变得繁琐，尤其是当身份验证依赖于电子邮件 OTP 时。对于无法访问公司电子邮件地址的新手来说，这种方法可能具有挑战性，这进一步复杂化了注册过程，并可能延迟 FIDO 密钥的部署。
• 密钥被锁定：如果用户忘记了 PIN，唯一的解决方案就是完全重置并重新注册密钥，这增加了整体复杂性和不便性。这个额外的步骤可能特别艰巨，因为用户必须再次经历注册过程，通常需要进一步的 IT 帮助才能完成任务。

行政管理费用

帮助因丢失、忘记 PIN 或意外重置而滥用 FIDO 密钥的用户会产生大量的管理开销。每次事件都需要 IT 支持人员的干预，这可能会耗费大量时间和资源。在拥有多个用户和设备的大型企业中，这种负担会加剧，因为支持请求的数量会迅速增加。大规模管理这些问题需要解决单个问题并实施流程和政策来预防这些问题，这进一步增加了管理负担。

安全漏洞

初始身份验证薄弱：依赖不太安全的方法（例如用户名/密码组合或短信一次性密码 (OTP)）进行 FIDO 身份验证器注册会使系统面临网络钓鱼攻击、帐户接管和欺诈活动。这些漏洞可能会从一开始就破坏 FIDO 身份验证的安全优势。

PIN 长度：FIDO 2.0 标准允许用户设置 4 位数字的 PIN，这不符合许多组织要求的高安全保证级别，尤其是在受监管的市场中。尽管 FIDO 2.1 引入了强制执行最小 PIN 长度设置并增加到 6 位或更多数字的功能，但组织必须确保在密钥重置期间无法绕过这些设置。正确执行 PIN 长度对于保持强大的安全性至关重要。

缺乏 2FA：某些在线服务在身份验证期间可能不会始终提示用户提供其 PIN 或生物特征数据，从而降低整体安全性。IT 安全专业人员必须定期审核这些身份验证流程，并在必要时强制实施双因素身份验证 (2FA)，以确保提供强大的保护。

密钥丢失/被盗：公司必须建立明确有效的流程来撤销丢失或被盗的 FIDO 密钥，以防止未经授权的访问。这包括制定用户报告密钥丢失的协议以及管理员快速停用密钥的协议，以帮助降低安全漏洞的风险。

如何克服挑战

在企业内部实施 FIDO 安全密钥时，不仅要关注身份验证步骤，还要加强生命周期的每个步骤，从 FIDO 密钥激活到撤销。

CISO 和 IT 安全专业人员有两种选择：

1.受益于 FIDO 2.1 标准（即 CTAP2.1 企业标准功能）并强制执行标准功能，例如首次使用时更改 PIN、强制用户验证或最小 PIN 长度。

• 最小 PIN 长度：企业可以在设置阶段定义最小 PIN 长度。此做法可加强安全策略并确保符合监管标准。
• 强制用户验证：通过此功能，可直接在 FIDO 密钥中强制执行用户验证，以确保无论身份验证上下文如何，用户都必须注册其 PIN 或生物特征。这消除了密钥丢失或被盗并被未经授权的个人使用的风险。
• 首次使用时更改 PIN：此功能强制最终用户在使用密钥之前定义自己的 PIN，以这种方式提高用户验证步骤的安全性和可用性。

为了实现这一目标，他们需要为最终用户提供支持 FIDO2.1 且经过 FIDO 联盟完全认证的 FIDO 密钥，例如Thales提供的新型SafeNet Token Fusion NFC PIV 。

2.超越 FIDO 2.1 标准，除了 FIDO2.1 标准功能外，还可受益于Thales独特的 FIDO 企业功能

• 托管模式：确保 IT 操作员是唯一管理密钥敏感操作的人员，例如设置安全策略、跟踪使用情况、解锁或撤销 FIDO 密钥。FIDO 密钥的集中管理使实体能够控制密钥的生命周期并减少可能转化为身份验证风险的漏洞。
• 配置服务允许列表：将组织管理的 FIDO 密钥的使用限制在授权服务范围内。此做法可确保密钥不用于个人目的，从而保持安全性和合规性。
• 确保持久的 PIN 长度：防止最终用户更改 IT 运营商定义的最小 PIN 长度。
• 解锁 FIDO 密钥：允许 IT 操作员在多次尝试失败后解锁 FIDO 密钥，从而减少用户完全重置密钥的需要，节省时间并减少管理开销。
• 管理重置：保护存储在 FIDO 密钥中的宝贵用户信息免遭意外删除。它还可以防止用户错误地完全重置密钥，从而保持身份验证过程的完整性。

在此选项中，组织需要为其最终用户配备企业版的Thales FIDO 密钥，例如支持 FIDO 2.1 标准和Thales FIDO 企业功能的SafeNet eToken Fusion NFC PIV Enterprise 。

Thales FIDO Enterprise 功能

通过集中生命周期管理加速并保护 FIDO 密钥部署

集中式 FIDO 密钥管理使组织能够控制密钥生命周期并减少可能演变为安全风险或终端用户采用率低的漏洞。Thales在 FIDO 密钥管理方面进行了创新，拥有市场上独有的强大企业功能。

Thales端到端解决方案将可互操作的管理平台与专为大型组织设计的Thales FIDO 安全密钥相结合，帮助企业加速并保护其无密码之旅：

• 通过代表用户预先注册 FIDO 密钥并在不到一分钟的时间内配置安全策略，从第一天开始为用户提供安全无缝的身份验证。
• 从入职到撤销，在生命周期的每个步骤中轻松安全地管理 FIDO 密钥。

作为Thales的合作伙伴，揽阁信息提供《Thales FIDO2 Security Keys/身份认证产品》，欢迎联系我们了解更多信息。

揽阁信息 · 值得您信赖的信息安全顾问！

相关文章：

• SAC 10.9（适用于 Linux）、10.9（适用于 Mac）和 10.8（适用于 SDK）– 发布公告
• 电信数据安全 - 解决方案
• 德国制造集团选择SafeNet Trusted Access安全迁移至云端 - 案例分析
• SAS PCE确保PPF Banka员工和客户访问安全 - 案例分析
• 金融服务数据安全 - 解决方案
• 云数据安全 - 解决方案