当前位置:网站首页>无密码身份验证如何保障用户隐私安全?
无密码身份验证如何保障用户隐私安全?
2022-07-05 12:41:00 【51CTO】
在互联网世界,验证用户身份是一个常见又重要的场景,应用最广泛的方式当属帐号密码验证。随着开发者对身份验证安全性要求不断提升,加之用户更加注重过程中的隐私与便捷,身份验证的方式逐渐多样化,有动态令牌、短信验证码、生物特征认证等方式。本文主要从安全性的角度,探讨几种常见身份验证方式存在的安全漏洞,为开发者们提供更具优势的解决方案。
常见身份验证方式的在安全性方面的隐患如下:
既然静态和动态密码的验证方式都存在漏洞,那么身份验证是否可以不依赖于密码?
其实,在很早之前,就有人开始设想“无密码登录”。当然,“无密码登录”并不等于没有密码,而是用新的身份验证方式,来取代现有密码验证体系。HMS Core 线上快速身份验证服务(HMS Core FIDO)基于这个出发点,为开发者提供了一种更具优势的解决方案:无密码的用户身份验证,提供本地生物特征认证和线上快速身份验证能力,可用于用户登录、购买支付等场景,同时,通过系统完整性检测和密钥校验机制,来保证验证结果安全可信。实现流程如下。
从安全性上来说,首先, HMS Core FIDO避免了用户手动输入帐号密码,因此不必担心帐号密码泄露的风险。
其次,使用 HMS Core FIDO不仅改善了用户体验,同时也降低了互联网服务提供商的部署成本。
最后,在验证过程中使用到的用户生物特征信息绝不会离开用户设备,仅本地解锁后才可使用,因此不必担心从服务端泄露用户数据。
除了提供安全身份验证,HMS Core FIDO也能帮助开发者优化用户体验。
HMS Core FIDO协议始终围绕保护用户隐私来设计,这些协议不会向在互联网平台提供可用于跟踪用户的信息,如果采用生物特征识别技术,用户生物特征信息绝不会离开用户设备。这一点相较于传统的生物特征认证方式,在安全隐私保护方面有了很大的改进,因为传统的生物特征认证会将用户数据采集到服务端,一旦服务端数据发生泄漏,将造成严重后果。从用户的角度来说,隐私体验得到了极大的改善。
在身份验证过程中,用户操作简单,过程流畅无间断,无需耗费太多时间去等待,如接受验证码、输入密码等。
HMS Core FIDO的应用场景
目前,FIDO技术已经得到了全球设备厂商、互联网服务提供商的广泛认可,包括一些大型银行等金融机构、政府网络平台等等,成熟应用于涉及资金变动的高安场景,如:购物网站或者App购买支付、数字货币转账、手机银行(网上银行)中的大额交易,等等。就使用流程举例来说,App在用户登录时检测设备是否支持HMS Core FIDO,如果支持,App可引导用户开通指纹或3D面容登录,用户在下次登录时只需要验证指纹或3D面容即可。 HMS Core FIDO是基于FIDO规范面向海内外开发者提供的开放能力,能够帮助互联网服务提供商的身份验证过程更安全、更简单,同时还能收获更好的用户体验。FIDO全称为Fast Identity Online规范,是由FIDO联盟推出并持续维护一套身份验证框架协议,它使用标准公钥密码学技术,提供更强有力的身份验证方式。
点击进入 HMS Core FIDO官网,体验优质的身份验证能力。
了解更多详情>>
访问 华为开发者联盟官网
获取 开发指导文档
华为移动服务开源仓库地址: GitHub
关注我们,第一时间了解 HMS Core 最新技术资讯~
边栏推荐
- Taobao product details API | get baby SKU, main map, evaluation and other API interfaces
- What is the difference between Bi software in the domestic market
- 研究:数据安全工具在 60% 的情况下无法抵御勒索软件
- Distributed solution - distributed session consistency problem
- RHCSA5
- CF:A. The Third Three Number Problem【关于我是位运算垃圾这个事情】
- Kotlin变量
- 10 minute fitness method reading notes (2/5)
- Setting up sqli lab environment
- 上午面了个腾讯拿 38K 出来的,让我见识到了基础的天花
猜你喜欢
10 minute fitness method reading notes (5/5)
Compilation principle reading notes (1/12)
CVPR 2022 | single step 3D target recognizer based on sparse transformer
LeetCode20.有效的括号
Alipay transfer system background or API interface to avoid pitfalls
Iterator details in list... Interview pits
Transactions from December 27 to 28, 2021
I'm doing open source in Didi
SAP self-development records user login logs and other information
RHCSA7
随机推荐
Transactions from January 14 to 19, 2022
RHCSA5
RHCSA2
10 minute fitness method reading notes (3/5)
Taobao short videos are automatically released in batches without manual RPA open source
Add a new cloud disk to Huawei virtual machine
Docker configures redis and redis clusters
ActiveMQ installation and deployment simple configuration (personal test)
Using docker for MySQL 8.0 master-slave configuration
从39个kaggle竞赛中总结出来的图像分割的Tips和Tricks
Taobao product details API | get baby SKU, main map, evaluation and other API interfaces
NFT: how to make money with unique assets?
Super efficient! The secret of swagger Yapi
Language model
What is the difference between Bi software in the domestic market
10 minute fitness method reading notes (2/5)
SAP SEGW 事物码里的 Association 建模方式
Volatile instruction rearrangement and why instruction rearrangement is prohibited
非技术部门,如何参与 DevOps?
How can labels/legends be added for all chart types in chart. js (chartjs.org)?