无密码身份验证如何保障用户隐私安全？

在互联网世界，验证用户身份是一个常见又重要的场景，应用最广泛的方式当属帐号密码验证。随着开发者对身份验证安全性要求不断提升，加之用户更加注重过程中的隐私与便捷，身份验证的方式逐渐多样化，有动态令牌、短信验证码、生物特征认证等方式。本文主要从安全性的角度，探讨几种常见身份验证方式存在的安全漏洞，为开发者们提供更具优势的解决方案。

常见身份验证方式的在安全性方面的隐患如下：

既然静态和动态密码的验证方式都存在漏洞，那么身份验证是否可以不依赖于密码？

其实，在很早之前，就有人开始设想“无密码登录”。当然，“无密码登录”并不等于没有密码，而是用新的身份验证方式，来取代现有密码验证体系。HMS Core 线上快速身份验证服务（HMS Core FIDO）基于这个出发点，为开发者提供了一种更具优势的解决方案：无密码的用户身份验证，提供本地生物特征认证和线上快速身份验证能力，可用于用户登录、购买支付等场景，同时，通过系统完整性检测和密钥校验机制，来保证验证结果安全可信。实现流程如下。

从安全性上来说，首先，HMS Core FIDO避免了用户手动输入帐号密码，因此不必担心帐号密码泄露的风险。

其次，使用HMS Core FIDO并不需要用户随身携带额外的第二验证设备。App可以通过用户手机内置的组件验证用户身份，如指纹验证器、3D面容传感器、虹膜验证器等。如果App希望加强验证，除了使用或插入第二设备之外，用户的手机就可以直接作为安全密钥硬件，完成身份验证。一台手机，支持多种验证场景，用户无需携带额外的设备，HMS Core FIDO不仅改善了用户体验，同时也降低了互联网服务提供商的部署成本。

最后，在验证过程中使用到的用户生物特征信息绝不会离开用户设备，仅本地解锁后才可使用，因此不必担心从服务端泄露用户数据。

除了提供安全身份验证，HMS Core FIDO也能帮助开发者优化用户体验。

HMS Core FIDO协议始终围绕保护用户隐私来设计，这些协议不会向在互联网平台提供可用于跟踪用户的信息，如果采用生物特征识别技术，用户生物特征信息绝不会离开用户设备。这一点相较于传统的生物特征认证方式，在安全隐私保护方面有了很大的改进，因为传统的生物特征认证会将用户数据采集到服务端，一旦服务端数据发生泄漏，将造成严重后果。从用户的角度来说，隐私体验得到了极大的改善。

在身份验证过程中，用户操作简单，过程流畅无间断，无需耗费太多时间去等待，如接受验证码、输入密码等。

HMS Core FIDO的应用场景

目前，FIDO技术已经得到了全球设备厂商、互联网服务提供商的广泛认可，包括一些大型银行等金融机构、政府网络平台等等，成熟应用于涉及资金变动的高安场景，如：购物网站或者App购买支付、数字货币转账、手机银行（网上银行）中的大额交易，等等。就使用流程举例来说，App在用户登录时检测设备是否支持HMS Core FIDO，如果支持，App可引导用户开通指纹或3D面容登录，用户在下次登录时只需要验证指纹或3D面容即可。

HMS Core FIDO是基于FIDO规范面向海内外开发者提供的开放能力，能够帮助互联网服务提供商的身份验证过程更安全、更简单，同时还能收获更好的用户体验。FIDO全称为Fast Identity Online规范，是由FIDO联盟推出并持续维护一套身份验证框架协议，它使用标准公钥密码学技术，提供更强有力的身份验证方式。

点击进入HMS Core FIDO官网，获取开发指导文档，体验优质的身份验证能力。

了解更多详情>>

访问华为开发者联盟官网
获取开发指导文档
华为移动服务开源仓库地址：GitHub、Gitee

关注我们，第一时间了解 HMS Core 最新技术资讯~