在互联网世界中,验证用户身份是一个常见且重要的场景,而使用最广泛的方式就是账号密码验证。随着开发者对身份验证的安全性要求不断提高,用户更加注重过程中的隐私性和便利性,身份验证方式逐渐多样化,包括动态令牌、短信验证码、生物特征认证等。本文主要从安全的角度探讨几种常见的认证方式存在的安全漏洞,为开发者提供更有优势的解决方案。常见的认证方式在安全方面的隐患如下:由于静态和动态密码认证方式存在漏洞,认证能否独立于密码?其实很早以前,就有人开始幻想“无密码登录”。当然,“无密码登录”并不是没有密码,而是一种新的认证方式,取代了现有的密码认证系统。基于这个出发点,HMSCore在线快速身份验证服务(HMSCoreFIDO)为开发者提供了更具优势的解决方案:无密码用户认证,提供本地生物特征认证和在线快速身份验证能力,可用于用户登录等场景、购买支付等。同时,通过系统完整性检测和密钥验证机制,保证验证结果安全可信。实现过程如下。在安全性方面,首先,HMSCoreFIDO避免了用户手动输入账号密码,无需担心账号密码泄露的风险。其次,使用HMSCoreFIDO不需要用户额外携带二次验证设备。App可以通过用户手机内置的组件验证用户身份,例如指纹验证器、3D人脸传感器、虹膜验证器等。如果App想要加强验证,除了使用或插入第二个设备,用户的手机可以直接作为安全密钥硬件完成身份验证。一部手机支持多种验证场景,用户无需携带额外设备。HMSCoreFIDO不仅提升了用户体验,也降低了互联网服务商的部署成本。最后,验证过程中使用的用户生物识别信息永远不会离开用户设备,只能在本地解锁后才能使用,无需担心服务器泄露用户数据。HMSCoreFIDO除了提供安全认证外,还可以帮助开发者优化用户体验。HMSCoreFIDO协议一直围绕保护用户隐私进行设计。这些协议不会向互联网平台提供可用于跟踪用户的信息。如果采用生物特征识别技术,用户生物特征信息将永远不会离开用户设备。与传统的生物认证方式相比,这大大提高了安全性和隐私保护,因为传统的生物认证会将用户数据收集到服务器,一旦服务器数据泄露,将造成严重后果。从用户的角度来看,隐私体验得到了极大的提升。身份验证过程中,用户操作简单,流程流畅不间断,无需花费太多时间等待,如接受验证码、输入密码等。HMSCoreFIDO的应用场景目前,FIDO技术已经得到全球设备制造商和互联网服务商的广泛认可,包括一些大型银行等金融机构、政务网络平台等,并成熟应用于涉及高安全性的场景。资金变动,如:购物网站或App购买支付、数字货币转账、手机银行(网银)大额交易等。比如用户登录时,App检查设备是否支持HMSCoreFIDO。如果支持,APP可以引导用户开启指纹或3D人脸登录。用户下次登录时只需验证指纹或3D人脸即可。HMSCoreFIDO是基于FIDO规范向国内外开发者开放的能力,可以帮助互联网服务提供商将身份验证过程变得更安全、更简单,同时获得更好的用户体验。FIDO的全称是FastIdentityOnlinespecification。是由FIDO联盟发起并维护的一套认证框架协议。它使用标准的公钥加密技术来提供更强大的身份验证方法。点击进入HMSCoreFIDO官网获取开发指导文档,体验优质鉴权能力。更多详情>>访问华为开发者联盟官网获取开发指导文档华为移动服务开源仓库地址:GitHub、Gitee关注我们,第一时间了解HMSCore最新技术资讯~
