在互联网世界,验证用户身份是一个常见又重要的场景,应用最广泛的方式当属帐号密码验证。随着开发者对身份验证安全性要求不断提升,加之用户更加注重过程中的隐私与便捷,身份验证的方式逐渐多样化,有动态令牌、短信验证码、生物特征认证等方式。本文主要从安全性的角度,探讨几种常见身份验证方式存在的安全漏洞,为开发者们提供更具优势的解决方案。


常见身份验证方式的在安全性方面的隐患如下:

无密码身份验证如何保障用户隐私安全?_身份验证

既然静态和动态密码的验证方式都存在漏洞,那么身份验证是否可以不依赖于密码?

其实,在很早之前,就有人开始设想“无密码登录”。当然,“无密码登录”并不等于没有密码,而是用新的身份验证方式,来取代现有密码验证体系。HMS Core ​​线上快速身份验证服务​​(HMS Core FIDO)基于这个出发点,为开发者提供了一种更具优势的解决方案:无密码的用户身份验证,提供本地生物特征认证和线上快速身份验证能力,可用于用户登录、购买支付等场景,同时,通过系统完整性检测和密钥校验机制,来保证验证结果安全可信。实现流程如下。

无密码身份验证如何保障用户隐私安全?_服务端_02

从安全性上来说,首先,​​HMS Core FIDO​​避免了用户手动输入帐号密码,因此不必担心帐号密码泄露的风险。

其次,使用​​HMS Core FIDO​​不仅改善了用户体验,同时也降低了互联网服务提供商的部署成本。

最后,在验证过程中使用到的用户生物特征信息绝不会离开用户设备,仅本地解锁后才可使用,因此不必担心从服务端泄露用户数据。

除了提供安全身份验证,HMS Core FIDO也能帮助开发者优化用户体验。

​HMS Core FIDO​​协议始终围绕保护用户隐私来设计,这些协议不会向在互联网平台提供可用于跟踪用户的信息,如果采用生物特征识别技术,用户生物特征信息绝不会离开用户设备。这一点相较于传统的生物特征认证方式,在安全隐私保护方面有了很大的改进,因为传统的生物特征认证会将用户数据采集到服务端,一旦服务端数据发生泄漏,将造成严重后果。从用户的角度来说,隐私体验得到了极大的改善。

在身份验证过程中,用户操作简单,过程流畅无间断,无需耗费太多时间去等待,如接受验证码、输入密码等。

HMS Core FIDO的应用场景

目前,FIDO技术已经得到了全球设备厂商、互联网服务提供商的广泛认可,包括一些大型银行等金融机构、政府网络平台等等,成熟应用于涉及资金变动的高安场景,如:购物网站或者App购买支付、数字货币转账、手机银行(网上银行)中的大额交易,等等。就使用流程举例来说,App在用户登录时检测设备是否支持HMS Core FIDO,如果支持,App可引导用户开通指纹或3D面容登录,用户在下次登录时只需要验证指纹或3D面容即可。 ​​HMS Core FIDO​​是基于FIDO规范面向海内外开发者提供的开放能力,能够帮助互联网服务提供商的身份验证过程更安全、更简单,同时还能收获更好的用户体验。FIDO全称为Fast Identity Online规范,是由FIDO联盟推出并持续维护一套身份验证框架协议,它使用标准公钥密码学技术,提供更强有力的身份验证方式。

点击进入​​HMS Core FIDO官网​​,体验优质的身份验证能力。

了解更多详情>>

访问​​华为开发者联盟官网​

获取​​开发指导文档​

华为移动服务开源仓库地址:​​GitHub​

关注我们,第一时间了解 HMS Core 最新技术资讯~