Frequently Asked Questions

Frequently Asked Questions

Frequently Asked Questions

Contact us or fill out the form to receive the earliest support.
Arrow

Là khoá xác thực dùng cho việc xác thực không mật khẩu hoặc xác thực hai lớp khi đăng nhập tài khoản trên Internet.

Arrow

Khoá VinCSS FIDO2® Authenticator (Touch 1, Fingerprint,…) hoạt động như một USB thông thường, không cần tải thêm phần mềm, không yêu cầu sạc hay pin kèm theo. Hoạt động ngay lập tức, đăng nhập bằng một chạm duy nhất.

Arrow

Khách hàng mua khoá xác thực VinCSS FIDO2® Authenticator (Touch 1, Fingerprint,…) có thể gửi bảo hành sản phẩm thông qua đại lý phân phối, hoặc gửi bảo hành trực tiếp tại trung tâm VinCSS tại Hà Nội và Thành phố Hồ Chí Minh.

Arrow

Tất cả các hệ điều hành và trình duyệt phổ biến hiện nay đều hỗ trợ khoá xác thực VinCSS FIDO2® Authenticator (Touch 1, Fingerprint,…), cụ thể tham khảo:
Trình duyệt: Edge, Chrome, Firefox, Opera, Safari
Hệ điều hành: Windows, Windows / MacOS / Linux / ChromeOS / Android, Windows / MacOS / Linux, Windows / MacOS / Linux, MacOS / iOS 13.3 (trở lên)

Arrow

Không giới hạn số lượng tài khoản đăng ký trên cùng một khoá VinCSS FIDO2® Authenticator (Touch 1, Fingerprint,…) trong trường hợp dùng khoá để xác thực hai lớp, và giới hạn 50 tài khoản trong trường hợp dùng khoá để xác thực không mật khẩu.

Arrow

Người dùng tự đăng ký với các tài khoản dịch vụ cần sử dụng, có thể sử dụng một khóa VinCSS FIDO2® Authenticator (Touch 1, Fingerprint,…) để đăng ký nhiều dịch vụ và nhiều tài khoản khác nhau.

Arrow

Trong trường hợp bị mất khoá VinCSS FIDO2® Authenticator (Touch 1, Fingerprint,…) bạn có thể dùng các phương thức dự phòng đã đăng ký trong quá trình cài đặt đăng ký dùng khoá lần đầu để đăng nhập vào tài khoản, và huỷ liên kết với khoá đã bị mất. Các phương thức dự phòng có thể là mã khôi phục dùng một lần (one-time recovery code), SMS OTP hoặc các ứng dụng Authenticator trên thiết bị di động.

Arrow

Khi bị mất khóa xác thực VinCSS FIDO2® Authenticator (Touch 1, Fingerprint,…) thì người dùng sẽ không bị mất tài khoản, vì trên khóa VinCSS FIDO2® Authenticator (Touch 1, Fingerprint,…) không chứa toàn bộ thông tin cần thiết cho việc đăng nhập.
Để dự phòng, người dùng được khuyến khích nên có 2 khoá xác thực cùng đăng ký vào một dịch vụ, và lưu giữ khoá backup ở một nơi an toàn. Trong trường hợp bị mất, người dùng có thể dùng khoá dự phòng để đăng nhập vào các tài khoản và huỷ liên kết với khoá cũ, hoặc cũng có thể dùng các phương thức dự phòng đã đề cập ở câu hỏi số 7.
Đối với khách hàng Enterprise sử dụng hệ thống FIDO2 Server do VinCSS cung cấp, khi bị mất khóa VinCSS FIDO2® Authenticator (Touch 1, Fingerprint,…), hệ thống quản lý khóa tập trung cho FIDO2 Server của VinCSS có thể xử lý theo các cách sau:
– Người dùng có thể đăng ký một khóa dự phòng hoặc một thiết bị smart phone Android/iOS làm khóa dự phòng. Các khóa dự phòng này sẽ không sử dụng được khi khóa chính đang được kích hoạt.
– Khi được thông báo mất khóa từ người dùng, Admin sẽ vô hiệu hóa khóa chính của người dùng qua hệ thống quản lý tập trung, đồng thời kích hoạt khóa dự phòng đã được đăng ký. Trường hợp người dùng không có khóa dự phòng admin có thể đăng ký và kích hoạt một khóa tạm khác đưa cho người dùng trong điều kiện địa lý cho phép

Arrow

Khóa xác thực VinCSS FIDO2® Authenticator (Touch 1, Fingerprint,…) được thiết kế không kết nối với dịch vụ lưu trữ mật khẩu tập trung, nên chính sách đổi mật khẩu không ảnh hưởng đến khóa VinCSS FIDO2® Authenticator (Touch 1, Fingerprint,…).

Arrow

Hầu hết các dịch vụ trực tuyến hiện nay đều hỗ trợ xác thực bằng khoá xác thực VinCSS FIDO2® Authenticator (Touch 1, Fingerprint,…), ví dụ:
Microsoft Account (Outlook, Office, Skype, OneDrive, Xbox Live, Bing…), Google Accounts (Drive, Google Cloud, Hangout, Gmail, Play, YouTube…), AWS, Web Service, Facebook, GitHub, Dropbox, Salesforce, Gitlab, Jira, Owncloud

Arrow

Trong toàn bộ quá trình đăng nhập, khóa xác thực chỉ có chức năng xác thực cho người dùng, không lưu trữ thêm bất kỳ thông tin nào khác, đảm bảo tính riêng tư. Khoá xác thực yêu cầu người dùng tác động trực tiếp vào khoá nên không thể bị tấn công từ xa, khoá áp dụng chuẩn FIDO2 nên bảo vệ người dùng khỏi các cuộc tấn công lừa đảo (phishing) trên internet, tấn công xen giữa (man-in-the-middle attack), tấn công sao chép thông tin bí mật (skimming)… Phần cứng của khoá được thiết kế để bảo vệ các dữ liệu trong khóa xác thực không thể bị đọc trộm.

Arrow

Xin vui lòng xem hướng dẫn dưới đây: https://github.com/VinCSS-Public-Projects/FIDO2-Public-Documents/blob/main/VinCSS-FIDO2-Touch-1/CSS-PRD-PQMC-USG-230223-002_Huong%20dan%20su%20dung%20VinCSS%20FIDO2%20Touch%201%20v2.0.pdf

Arrow

Không, vì VinCSS FIDO2® Authenticator (Touch 1, Fingerprint,…) không phải là USB lưu trữ nên không có nguy cơ lây nhiễm mã độc.

Arrow

Người dùng có thể sử dụng Ứng dụng quản lý key của Windows hoặc Cài đặt của trình duyệt Chrome để thiết lập lại mã PIN hoặc khôi phục cài đặt gốc của VinCSS FIDO2® Authenticator (Touch 1, Fingerprint,…).

Arrow

Chúng tôi có rất nhiều hệ thống/ứng dụng nội bộ được tích hợp xác thực không mật khẩu, và nhận được phản hồi rất tốt về mặt trải nghiệm, người dùng không còn muốn sử dụng mật khẩu nữa

Arrow

Từ 4 đến 63 ký tự số

Arrow

Hiện tại VinCSS FIDO2® Authenticator (Touch 1, Fingerprint,…) chưa hỗ trợ cho mục đích ký số

Arrow

Không. VinCSS sẽ tính toán cấu hình phần cứng phù hợp cho từng số lượng người dùng cụ thể

Arrow

Đúng. Private key và public key là duy nhất

Arrow

Không thể trích xuất bất kỳ dữ liệu nào từ VinCSS FIDO2® Authenticator (Touch 1, Fingerprint,…)

Arrow

Khóa vật lý sử dụng chip (an toàn), Aris/Aris pro sử dụng chip lượng tử (an toàn), mobile app (VinCSS FIDO2): độ an toàn của khóa mềm phụ thuộc vào độ an toàn của điện thoại, không an toàn khi ứng dụng đang chạy trên điện thoại đã bị root/jailbreak

Arrow

VinCSS FIDO2® Touch 1: Chỉ cần mua là có thể sử dụng.
VinCSS FIDO2 on iOS, Android: Miễn phí cho gói cơ bản, trả phí cho gói premium (thêm một số chức năng).
VinCSS FIDO2 VOS: Không phải mua license.

Arrow

Không. VinCSS đã xây dựng hệ sinh thái riêng, chạy trên nền tảng của VinCSS

Arrow

Rất nhiều nền tảng đã hỗ trợ FIDO2, ví dụ: Microsoft (xác thực không mật khẩu), Google (xác thực 2 yếu tố). Hệ sinh thái VinCSS FIDO2 nhắm tới việc hõ trợ xác thực không mật khẩu cho tất cả các ứng dụng bằng cách tiện lợi nhất đó là tích hợp qua chuẩn xác thực OAuth2.

Arrow

Không. SDK chỉ nhằm mục đích hỗ trợ tích hợp FIDO2 trực tiếp trên ứng dụng mà không phải qua hệ thống trung gian. Việc này yêu cầu source code của ứng dụng hoặc tự phát triển (cần nguồn lực)

Arrow

Trong trường hợp bị mất khoá VinCSS FIDO2® Authenticator (Touch 1, Fingerprint,…) bạn có thể dùng các phương thức dự phòng đã đăng ký trong quá trình cài đặt đăng ký dùng khoá lần đầu để đăng nhập vào tài khoản, và huỷ liên kết với khoá đã bị mất. Các phương thức dự phòng có thể là mã khôi phục dùng một lần (one-time recovery code), SMS OTP hoặc các ứng dụng Authenticator trên thiết bị di động.

Arrow

Tính năng Single Sign-On sẽ được hỗ trợ trong bản cập nhật tiếp theo. Người dùng chỉ cần một khóa xác thực để có thể đăng nhập vào nhiều ứng dụng khác nhau.

Arrow

VinCSS FIDO2 Fingerprint / VOS: Sử dụng vân tay để xác minh chính chủ, vì thế keylogger không thể thu thập được gì trong quá trình xác thực VinCSS FIDO2® Touch 1: Sử dụng mã PIN (được điền vào từ bàn phím) để xác minh chính chủ, vì thế keylogger có thể thu thập mã PIN trong quá trình xác thực. Tuy nhiên nếu không có thiết bị xác thực (authenticator) thì attacker không thể đăng nhập hệ thống.
Thời gian xóa key cũ, tạo key mới sẽ phụ thuộc vào người quản trị hệ thống / tốc độ thao tác của người dùng / spare part quantity. Nếu các yếu tố này sẵn sàng thì thời gian chỉ khoảng từ một đến hai phút.

Arrow

Giống như nhiều hệ thống khác, để tránh việc gián đoạn khi sử dụng dịch vụ xác thực không mật khẩu, hệ thống cần được triển khai High Availability; hoặc giữ lại cách đăng nhập cũ như một biện pháp dự phòng.

Arrow

Chuẩn FIDO2 cung cấp cho việc xác thực. Tuy nhiên VinCSS đang làm việc để khóa xác thực FIDO2 có thể sử dụng cho nhiều mục đích hơn, ví dụ: mã hóa Mail đầu cuối.

Arrow

VinCSS FIDO2® Touch 1 không thể bị clone hay bị trích xuất dữ liệu.

Arrow

Một cặp private key và public key được sinh ra là duy nhất cho mỗi lần người dùng đăng ký khoá VinCSS FIDO2® Authenticator (Touch 1, Fingerprint,…)

Arrow

FIDO2 áp dụng tốt nhất với ứng dụng Web và mobile. Tuy nhiên VinCSS đang cố gắng để tích hợp FIDO2 với các dạng ứng dụng khác, cho nhiều mục đích khác.

Arrow

Luồng đăng ký: có 2 luồng như sau
Người dùng liên hệ admin để đăng ký
Với key cứng: Sau khi hệ thống yêu cầu cắm key cứng vào máy, tiến hành cắm và nhập mã PIN
Với key mềm: Hệ thống sẽ tạo ra 1 mã QR, người dùng mở ứng dụng VinCSS FIDO2 và quét mã QR, sau đó tiến hành đăng ký và dùng vân tay/khuôn mặt để hoàn tất đăng ký
Người dùng tự đăng ký (yêu cầu hệ thống kết nối AD, LDAP)
Người dùng điền username/password nếu đăng ký lần đầu, hoặc sử dụng key đã có để đăng nhập vào hệ thống, sau đó tự đăng ký
Với key cứng: Sau khi hệ thống yêu cầu cắm key cứng vào máy, tiến hành cắm và nhập mã PIN
Với key mềm: Hệ thống sẽ tạo ra 1 mã QR, người dùng mở ứng dụng VinCSS FIDO2 và quét mã QR, sau đó tiến hành đăng ký và dùng vân tay/khuôn mặt để hoàn tất đăng ký
Luồng đăng nhập: Người dùng truy cập vào hệ thống và bấm nút đăng nhập FIDO2, sau đó hệ thống sẽ chuyển hướng đăng nhập sang hệ thống FIDO2. Sau đó người dùng điền username và nhấn Login
Nếu sử dụng key cứng: Trên màn hình sẽ hiển thị yêu cầu nhập mã PIN. Tiến hành nhập mã PIN và chạm vào logo màu vàng trên key
Nếu sử dụng QRcode: Trên màn hình sẽ hiển thị mã QR. Sử dụng điện thoại, truy cập ứng dụng VinCSS FIDO2 và tiến hành quét mã QR, sau đó xác minh bằng vân tay/khuôn mặt để đăng nhập.

Arrow

Thiết bị FIDO2 có thể sử dụng qua Remote Desktop

Arrow

Theo thông tư số 35/2016/TT-NHNN, tại điều 4 mục 9 điểm “d” trong Các quy định cụ thể đối với hạ tầng kỹ thuật của hệ thống Internet Banking: Phải sử dụng biện pháp xác thực hai yếu tố khi đăng nhập hệ thống.
Hệ sinh thái VinCSS FIDO2 hoàn toàn có thể tích hợp với các ứng dụng để có thể sử dụng đăng nhập xác thực hai yếu tố.

Arrow

Khái niệm PKI (hạ tầng khóa công khai) thường được dùng để chỉ toàn bộ hệ thống bao gồm nhà cung cấp chứng thực số (CA) cùng các cơ chế liên quan đồng thời với toàn bộ việc sử dụng các thuật toán mã hoá khoá công khai trong trao đổi thông tin. Hạ tầng khóa công khai PKI là một hệ thống tạo, lưu trữ và quản lý vòng đời các chứng thư số. Một hệ thống PKI bao gồm ít nhất 2 thành phần là CA (Certificate Authority) và RA (Registration Authority), trong đó CA sinh ra và ký lên các chứng thư số.
FIDO (Fast ID Online) sử dụng công nghệ mật mã khóa công khai tiêu chuẩn để cung cấp xác thực mạnh hơn (hướng đến giải pháp xác thực cho người dùng cuối). Khi đăng ký một dịch vụ trực tuyến, thiết bị ngưởi dùng sinh ra một cặp khóa mới. Nó giữ lại khóa bí mật và đăng ký khóa công khai với ứng dụng trực tuyến. Phiên xác thực được thực hiện bằng việc thiết bị người dùng sử dụng khóa bí mật để ký lên một yêu cầu. Để sử dụng được khóa bí mật, người dùng phải nhập mã PIN, hoặc các hình thức sinh trắc học như vân tay, giọng nói.

Arrow

Với những ứng dụng hỗ trợ chuẩn xác thực OAuth2, sẽ rất dễ dàng để có thể tích hợp với giải pháp xác thực không mật khẩu của VinCSS

Arrow

Người quản trị vẫn có thể khóa tài khoản người dùng thông qua AD, LDAP, hoặc thậm chí là ngay trên giải pháp của VinCSS (vô hiệu hóa key, xóa key)

Arrow

Với giải pháp của VinCSS, khách hàng chỉ cần đảm bảo rằng ứng dụng hỗ trợ chuẩn xác thực OAuth2.
Khách hàng cần cung cấp các thông tin sau:
Loại ứng dụng cần tích hợp xác thực không mật khẩu (Web Application / Native Application (software) / Mobile Application / Single Page Application)? Ứng dụng có source code không? Ngôn ngữ lập trình của ứng dụng là gì?
Mô tả luồng đăng ký tài khoản hiện tại (với user mới muốn dùng ứng dụng/dịch vụ thì process thế nào)?
Mô tả luồng phân quyền cho tài khoản người dùng truy cập ứng dụng/dịch vụ. Có những role nào, phân quyền và giới hạn truy cập theo role ra sao?
Mô tả luồng xác thực tài khoản hiện tại. Người dùng đăng nhập như nào?
Mô tả luồng thu hồi quyền, tài khoản khi người dùng không còn nhu cầu dùng ứng dụng/dịch vụ.
Kiến trúc hệ thống ứng dụng/dịch vụ (thiết kế hệ thống? Có HA không? số lượng máy chủ mỗi loại?)

Arrow

Khi sử dụng ứng dụng VinCSS FIDO2 trên hệ điều hành iOS, bắt buộc phải cấp quyền sử dụng camera, TouchID/FaceID.
Khi sử dụng ứng dụng VinCSS FIDO2 trên hệ điều hành Android, không nhất thiết phải thiết lập xác thực bằng vân tay, có thể thiết lập mã PIN thay thế (mã PIN này khác với mã PIN/passcode mở máy).

Arrow

Đối với thiết bị iPhone/iPad, việc thay đổi FaceID/TouchID (xóa – đổi Face ID, xóa 1 trong các TouchID đã đăng ký, thêm TouchID) thì thông tin khóa bảo mật FIDO2 sẽ mất, bắt buộc phải đăng ký lại.
Đối với điện thoại hệ điều hành Android:
Nếu chọn bảo vệ ứng dụng VinCSS FIDO2 bằng mã PIN, việc thay đổi vân tay (xóa – đổi, xóa 1 trong các vân tay đã lưu hoặc xóa toàn bộ vân tay, thay đổi vân tay) không ảnh hưởng gì đến khóa bảo mật FIDO2 đã lưu.
Nếu chọn bảo vệ ứng dụng VinCSS FIDO2 bằng vân tay thì việc thay đổi (xóa – đổi, xóa 1 trong các vân tay đã lưu hoặc xóa toàn bộ vân tay, thay đổi vân tay) sẽ làm mất các khoá bảo mật FIDO2, người dùng phải đăng ký lại các khoá FIDO2 này.

Arrow

Passwordless authentication là một kiểu xác thực không cần đến password.

Arrow

Không

Arrow

Liên minh FIDO bắt đầu từ một cuộc thảo luận vào cuối năm 2009, được giới thiệu bởi Ramesh Kesanupalli, người lúc đó là CTO tại Validity Sensors (một nhà sản xuất cảm biến vân tay, do Synaptics mua lại). Kesanupalli đã hỏi Michael Barrett, PayPal CISO vào thời điểm đó, liệu anh ấy có quan tâm đến việc kích hoạt dấu vân tay paypal.com hay không. Barrett trả lời rằng anh ấy đã làm được, nhưng chỉ khi nó có thể đạt được thông qua các tiêu chuẩn mở. Vì không có tiêu chuẩn liên quan nào có thể được sử dụng, Kesanupalli sau đó đã tham gia vào Taher Elgamal (người phát minh ra SSL) và các cuộc thảo luận bắt đầu từ đó. Toàn bộ lịch sử của FIDO Alliance có tại đây (https://fidoalliance.org/overview/history/).

Arrow

Liên minh FIDO ra mắt công khai vào đầu năm 2013 với sáu công ty thành viên. Kể từ đó, Liên minh đã phát triển bao gồm hơn 250 thành viên trên toàn thế giới – vui lòng xem danh sách thành viên. (Https://fidoalliance.org/members/)

Arrow

Trang web của Liên minh FIDO (https://fidoalliance.org) cung cấp thông tin toàn diện về Liên minh, thông số kỹ thuật của Liên minh (https://fidoalliance.org), các sản phẩm được Chứng nhận FIDO (https://fidoalliance.org/certification/fido -certified-products), cơ sở kiến ​​thức (https://fidoalliance.org/knowledge-base) gồm các tài nguyên và các phương pháp hay nhất và tiến trình chung (https://fidoalliance.org/content/fido-in-the-news). Bạn cũng có thể đăng ký (https://fidoalliance.org/newsletter-sign-up) để nhận thông tin cập nhật và lời mời tham gia các sự kiện trong tương lai, nhiều sự kiện được mở cho công chúng. Bạn cũng có thể theo dõi @FIDOalliance (https://twitter.com/FIDOAlliance) trên Twitter và/hoặc trên LinkedIn (https://www.linkedin.com/company/the-fido-alliance).
Liên minh cung cấp hỗ trợ cho những người triển khai công nghệ bằng cách điều hành danh sách thảo luận công khai fido-dev@fidoalliance.org mới mà bất kỳ ai cũng có thể đăng ký. Đối với các tổ chức quan tâm đến tiến trình chi tiết và ảnh hưởng đến kết quả, cách tốt nhất để tham gia là tham gia Liên minh (https://fidoalliance.org/members/membership-benefits).

Arrow

Liên minh FIDO đã xuất bản ba bộ thông số kỹ thuật để xác thực đơn giản hơn, mạnh mẽ hơn: FIDO Universal Second Factor (FIDO U2F), FIDO Universal Authentication Framework (FIDO UAF) và Client to Authenticator Protocols (CTAP). CTAP bổ sung cho Web của W3C Đặc tả xác thực (WebAuthn) (https://www.w3.org/TR/2018/CR-webauthn-20180320); chúng được gọi chung là FIDO2.
Để biết thêm thông tin, hãy đọc Tổng quan về thông số kỹ thuật (https://fidoalliance.org/specification) và/hoặc thông số kỹ thuật trên trang tải xuống thông số kỹ thuật (https://fidoalliance.org/download).

Arrow

Ngay từ khi thành lập, Liên minh FIDO đã nêu ý định thay đổi bản chất của xác thực bằng cách phát triển các đặc tả xác định một bộ cơ chế mở, có thể mở rộng, có thể tương tác thay thế việc dựa vào mật khẩu để xác thực an toàn người dùng các dịch vụ trực tuyến. Hai năm sau khi thành lập, Alliance đã cung cấp các thông số kỹ thuật 1.0 cuối cùng vào tháng 12 năm 2014 để thực hiện tầm nhìn đó. Đây là một cột mốc quan trọng trên con đường của ngành để xác thực phổ biến đơn giản hơn, mạnh mẽ hơn và nhiều triển khai đã mang Xác thực FIDO đến với người dùng trên toàn cầu. Để hỗ trợ thêm cho Xác thực FIDO trên các thiết bị và nền tảng, FIDO Alliance đã xuất bản bộ thông số kỹ thuật thứ hai của mình, FIDO2, vào tháng 3 năm 2019. Xem “Tại sao FIDO Alliance nhận thấy sự cần thiết của FIDO2?” để biết thêm thông tin.

Arrow

Liên minh FIDO đã xuất bản ba bộ thông số kỹ thuật để xác thực đơn giản hơn, mạnh mẽ hơn – FIDO U2F, FIDO UAF và FIDO2 – để cung cấp cho phạm vi rộng nhất các trường hợp sử dụng và kịch bản triển khai:
FIDO U2F hỗ trợ trải nghiệm yếu tố thứ hai, trong khi FIDO UAF hỗ trợ trải nghiệm không cần mật khẩu. Bộ thông số kỹ thuật mới nhất, FIDO2, hỗ trợ trải nghiệm người dùng không cần mật khẩu, yếu tố thứ hai và đa yếu tố. Để biết thêm chi tiết về thông số kỹ thuật, hãy xem Tổng quan về thông số kỹ thuật của chúng tôi (https://fidoalliance.org/specification/).

Tất cả các tiêu chuẩn của FIDO đều dựa trên mật mã khóa công khai, có khả năng chống lừa đảo mạnh mẽ và bảo vệ quyền riêng tư của người dùng (để biết thêm thông tin, hãy xem Cách thức hoạt động của FIDO (https://fidoalliance.org/how-fido-works/).

Arrow

Liên minh FIDO đã phát triển các thông số kỹ thuật FIDO2 của mình với W3C để cho phép các khả năng Xác thực FIDO được tích hợp vào nhiều loại thiết bị, nền tảng và trình duyệt web hơn. FIDO2 hiện được hỗ trợ trong các trình duyệt web Google Chrome, Mozilla Firefox, Microsoft Edge và Apple

Arrow

Không. Liên minh FIDO chỉ quy định các tiêu chuẩn để triển khai xác thực mạnh và thử nghiệm để tuân thủ các tiêu chuẩn đó; Liên minh không cung cấp dịch vụ hoặc trang bị thiết bị hoặc trang web. Các nhà sản xuất thiết bị, nhà cung cấp dịch vụ trực tuyến, doanh nghiệp và nhà phát triển sử dụng các thông số kỹ thuật của FIDO để xây dựng sản phẩm, cung cấp dịch vụ và kích hoạt các trang web và trình duyệt có xác thực FIDO. Theo thông số kỹ thuật của FIDO, thông tin đăng nhập của người dùng phải vẫn còn trên thiết bị của người dùng và chúng không bao giờ được chia sẻ với nhà cung cấp hoặc dịch vụ.

Arrow

Phiên bản này, kiểu trao đổi thông tin này bị ngăn chặn với Xác thực FIDO. Mỗi ghép nối thiết bị / trang web yêu cầu đăng ký riêng và một cặp khóa mật mã riêng. Sau khi đăng ký, người dùng có thể dễ dàng xác thực nhiều trang web từ cùng một thiết bị, nhưng mỗi trang web không biết về tương tác của người dùng với các trang web khác. FIDO không giới thiệu bất kỳ cơ chế theo dõi mới nào có thể được sử dụng để tương quan với hoạt động trực tuyến của người dùng.

Arrow

Liên minh FIDO gần đây đã khởi chạy Chương trình Chứng nhận Authenticator. Chương trình này giới thiệu các Yêu cầu về Bảo mật của Trình xác thực đối với Chương trình Chứng nhận FIDO dành riêng cho trình xác thực. Mỗi trình xác thực được chứng nhận theo chương trình Chứng nhận FIDO đều được xác thực để đáp ứng mức độ đảm bảo bảo mật cụ thể tùy thuộc vào mức độ bảo mật mà nhà cung cấp đang tìm kiếm. Cấp độ càng cao, đảm bảo an ninh càng lớn. Thông tin thêm về chương trình này có thể được tìm thấy tại đây: https://fidoalliance.org/certification/authenticator-certification-levels

Arrow

Không giống như các mô hình xác thực dựa trên mật khẩu hiện tại đã được chứng minh là dễ bị tấn công và gian lận quy mô lớn, thông tin xác thực FIDO không bao giờ được chia sẻ hoặc lưu trữ trong cơ sở dữ liệu tập trung. Thông tin đăng nhập FIDO chỉ được thiết bị của người dùng biết và duy trì. Tất cả những gì được nhà cung cấp dịch vụ lưu trữ là các khóa công khai được ghép nối với thiết bị của người dùng nơi lưu trữ các khóa riêng tư. Để tăng cường bảo mật và quyền riêng tư, sinh trắc học được sử dụng trong Xác thực FIDO không bao giờ rời khỏi thiết bị. Mô hình bảo mật này loại bỏ các nguy cơ lừa đảo, tất cả các hình thức đánh cắp mật khẩu và các cuộc tấn công phát lại. Kẻ tấn công sẽ cần thiết bị vật lý của người dùng để thực hiện một cuộc tấn công (xem bên dưới, “ai đó không thể đột nhập vào tài khoản nếu họ ăn cắp thiết bị?” Để biết thêm thông tin). Hệ sinh thái mật khẩu đã mang lại cho những kẻ tấn công lợi tức đầu tư lớn với rủi ro tương đối hạn chế; hệ sinh thái FIDO khó hơn nhiều, tốn kém và rủi ro hơn cho những kẻ tấn công để kiếm lợi.

Arrow

Khi được sử dụng trong Xác thực FIDO, dữ liệu sinh trắc học của người dùng không bao giờ rời khỏi thiết bị và không bao giờ được lưu trữ trên máy chủ trung tâm nơi nó có thể bị đánh cắp khi vi phạm. Mô hình xác thực trên thiết bị của FIDO giúp loại bỏ nguy cơ bị tấn công từ xa. Nếu kẻ tấn công có thể truy cập vào thiết bị thực tế của người dùng, thì việc giả mạo thành công sẽ khá khó khăn. Đầu tiên, kẻ tấn công phải có được một bản in tiềm ẩn hoàn chỉnh, được định dạng hoàn hảo cũng được ghi danh trên thiết bị của người dùng mục tiêu. Sau đó, kẻ tấn công phải có quyền truy cập vào thiết bị của người dùng để chỉ kiểm soát một thiết bị đó. Ngay cả khi hoàn thành, một hành vi giả mạo duy nhất cũng không gây ra tác hại tiềm tàng do cuộc tấn công quy mô lớn điển hình ngày nay gây ra, có thể dẫn đến việc thu thập thông tin đăng nhập của hàng triệu và hàng trăm triệu người dùng.

Arrow

Không. Để xâm nhập vào tài khoản, tội phạm không chỉ cần thiết bị của người dùng đã được đăng ký là FIDO Authenticator cho tài khoản mà còn phải có khả năng đánh bại thử thách nhận dạng người dùng mà Authenticator sử dụng để bảo vệ khóa cá nhân. Điều này làm cho việc đăng nhập vào tài khoản đã kích hoạt FIDO trở nên cực kỳ khó khăn. Bên cạnh đó, tất cả các triển khai hiện tại (và chúng tôi đề xuất tất cả trong tương lai) cung cấp cho người dùng khả năng báo cáo thiết bị bị mất hoặc bị đánh cắp và xóa FIDO Authenticator khỏi tài khoản của họ.

Arrow

Mục đích của mô hình FIDO là cung cấp trải nghiệm xác thực an toàn và đơn giản cho các dịch vụ trực tuyến. Xác thực liên quan đến người dùng có thiết bị kết nối với dịch vụ qua mạng.

Arrow

Có, bạn có thể sử dụng nhiều trang web từ một thiết bị FIDO. Mỗi ghép nối thiết bị / trang web yêu cầu đăng ký riêng và một cặp khóa mật mã riêng biệt. Sau khi đăng ký, người dùng có thể dễ dàng xác thực nhiều trang web từ cùng một thiết bị, nhưng mỗi trang web không có kiến thức về tương tác của người dùng với các trang web khác.
Nếu người dùng mua một thiết bị mới hoặc muốn sử dụng nhiều thiết bị FIDO, người dùng chỉ cần đăng ký từng thiết bị tại các trang web mà họ muốn sử dụng chúng. Khi một thiết bị được đăng ký tại một trang web, thiết bị đó sẽ được nhận dạng bất cứ khi nào người dùng cần xác thực tại trang web đó. Khi người dùng truy cập một trang web bằng thiết bị mới chưa được đăng ký và do đó không được tự động nhận dạng, người dùng sẽ được nhắc đăng ký thiết bị FIDO mới để kích hoạt xác thực FIDO với thiết bị mới tại trang web đó.

Arrow

Có, xác thực FIDO có thể được triển khai trong môi trường doanh nghiệp. Nó cung cấp cho doanh nghiệp những lợi ích đáng kể như giảm chi phí triển khai và hỗ trợ xác thực mạnh mẽ. Có một Nhóm Công tác Triển khai Doanh nghiệp đang hoạt động trong Liên minh tạo ra sách trắng về các phương pháp hay nhất. Hướng dẫn này có thể nằm trong Cơ sở Kiến thức FIDO. Trong Cơ sở kiến thức (https://fidoalliance.org/knowledge-base/), bạn cũng có thể tìm hiểu cách Google triển khai FIDO (https://fidoalliance.org/case-study-series-google-security-keys-work trên 85.000 nhân viên của họ do đó không có cuộc tấn công lừa đảo nào thành công nào.

Arrow

FIDO2 là thuật ngữ bao quát cho bộ tiêu chuẩn xác thực mạnh mẽ mới nhất của FIDO Alliance. FIDO2 bao gồm hai thông số kỹ thuật: W3C’s Web Authentication (WebAuthn) và FIDO Alliance’s Client to Authenticator Protocol (CTAP).
Tiêu chuẩn FIDO2 cho phép người dùng tận dụng các thiết bị thông thường để dễ dàng xác thực với các dịch vụ trực tuyến trong cả môi trường di động và máy tính để bàn, đồng thời có độ bảo mật cao hơn nhiều so với mật khẩu và SMS OTP.

Arrow

FIDO2 bao gồm hai thông số kỹ thuật:
W3C WebAuthn: Đặc tả Xác thực Web xác định một API web tiêu chuẩn để cho phép người dùng trình duyệt đăng nhập bằng cặp khóa mật mã mạnh hơn mật khẩu. Đặc điểm kỹ thuật hỗ trợ đăng nhập yếu tố thứ hai và không cần mật khẩu. Đặc điểm kỹ thuật cho phép Xác thực FIDO mạnh mẽ trên tất cả các trình duyệt web và cơ sở hạ tầng nền tảng web liên quan. (xem câu hỏi “Mối quan hệ giữa FIDO2 và W3C WebAuthn là gì?” để biết thêm thông tin.)
CTAP FIDO: CTAP cho phép các trình duyệt và hệ điều hành nói chuyện với các trình xác thực bên ngoài, như thiết bị dựa trên USB, thiết bị hỗ trợ NFC và Bluetooth, đồng thời loại bỏ yêu cầu người dùng đăng ký lại trên mọi thiết bị họ sử dụng. Với đặc điểm kỹ thuật này, người dùng có thể đăng nhập vào máy tính, máy tính bảng, thiết bị IoT, v.v. của họ thông qua trình duyệt hoặc nền tảng bằng cách sử dụng, ví dụ: thiết bị được kết nối hoặc điện thoại di động của họ – với trường hợp sử dụng hoàn toàn mới được giới thiệu với CTAP .

Arrow

FIDO2 là tên chính thức của bộ tiêu chuẩn mới nhất của FIDO.

Arrow

Mục tiêu của Liên minh FIDO luôn là xác thực mạnh mẽ phổ biến trên web. Điều đó có nghĩa là xây dựng hỗ trợ Xác thực FIDO vào mọi thiết bị mà mọi người sử dụng hàng ngày. Liên minh đã đạt được tiến bộ đáng chú ý với các thông số kỹ thuật FIDO U2F và FIDO UAF ban đầu, đặc biệt là trên nền tảng di động. FIDO2 mở rộng phạm vi tiếp cận của Xác thực FIDO bằng cách làm cho nó trở thành một tính năng tích hợp trên các trình duyệt và nền tảng web, đây là một bước quan trọng đối với mục tiêu chung của Alliance.

Arrow

Một nguyên tắc chung là hãy nhớ phương trình đơn giản này:
FIDO2 = W3C WebAuthn + CTAP
Đây là toàn bộ câu chuyện về sự phát triển của FIDO2: Sau khi phát hành các thông số kỹ thuật FIDO UAF và FIDO U2F, FIDO Alliance tập trung vào việc làm cho Xác thực FIDO dễ tiếp cận hơn với người dùng trên toàn thế giới. Liên minh đã phát triển ba đặc điểm kỹ thuật xác định một API dựa trên web, cho phép Xác thực FIDO được tích hợp trực tiếp vào các trình duyệt và nền tảng. Các thông số kỹ thuật này đã được đệ trình lên W3C, tổ chức tiêu chuẩn quốc tế cho World Wide Web, vào tháng 11 năm 2015. Các công ty thành viên của Liên minh FIDO đã làm việc trong Nhóm công tác xác thực web của W3C để hoàn thiện API, được gọi là WebAuthn. WebAuthn chính thức được công nhận là tiêu chuẩn web W3C vào tháng 3 năm 2019.
Trong cùng một khoảng thời gian, FIDO Alliance đã tạo và hoàn thiện một thông số kỹ thuật bổ sung cho WebAuthn: Giao thức Máy khách tới Người xác thực (CTAP). CTAP làm cho WebAuthn dễ tiếp cận hơn với người dùng bằng cách cho phép họ sử dụng các thiết bị họ đã sở hữu điện thoại di động, khóa bảo mật hoặc PC chạy Windows 10 để xác thực với các nền tảng và trình duyệt hỗ trợ WebAuthn.
Cùng với nhau, WebAuthn và CTAP được gọi là FIDO2. Liên minh FIDO quản lý và duy trì chương trình chứng nhận để đảm bảo khả năng tương tác của tất cả các triển khai FIDO2 trên thị trường – máy khách, máy chủ và thiết bị xác thực.

Arrow

Các thông số kỹ thuật trong FIDO2 hỗ trợ các trường hợp và thông số kỹ thuật FIDO UAF và FIDO U2F không cần mật khẩu hiện có và mở rộng tính khả dụng của Xác thực FIDO. Người dùng đã có thiết bị tuân thủ FIDO bên ngoài, chẳng hạn như khóa bảo mật FIDO U2F, sẽ có thể tiếp tục sử dụng các thiết bị này với các ứng dụng web hỗ trợ WebAuthn. Các thiết bị FIDO UAF hiện có vẫn có thể được sử dụng với các dịch vụ đã có từ trước cũng như các dịch vụ mới dựa trên giao thức FIDO UAF.

Arrow

Công việc của Liên minh FIDO chỉ mới bắt đầu. Các thông số kỹ thuật và chương trình chứng nhận đang tiếp tục phát triển và công việc triển khai của chúng tôi ngày càng có tầm quan trọng lớn hơn. Ngoài ra, Liên minh vừa ra mắt các lĩnh vực công việc mới trong IoT và xác minh danh tính, thúc đẩy liên minh rộng rãi của Liên minh gồm các tổ chức hàng đầu từ khắp nơi trên thế giới để giúp tiêu chuẩn hóa các công nghệ liên quan đến xác thực người dùng. Để biết thêm thông tin về các lĩnh vực công việc này, hãy đọc https://fidoalliance.org/fido-alliance-announces-id-and-iot-initiators/.

Arrow

Việc sử dụng biểu trưng được Chứng nhận FIDO sẽ yêu cầu ký TMLA. Có một quy trình được tổ chức hợp lý cho các Bên dựa vào muốn sử dụng biểu trưng chứng nhận trên trang web của họ, bao gồm thỏa thuận cấp phép “không cần nhấp chuột” (https://fidoalliance.org/fido-trademark-and-service-mark-usage-agreement-for-websites).

Arrow

Các Chứng chỉ do Liên minh FIDO cấp có định dạng số sau:
SSSXYZAYYYYMMDD ####
SSS – Số thông số kỹ thuật (UAF hoặc U2F)
X – Số thông số kỹ thuật
Y – Số phụ thông số kỹ thuật
Z – Số sửa đổi thông số kỹ thuật
A – Số errata thông số kỹ thuật
YYYY – Năm phát hành
MM – Tháng phát hành
DD – Ngày phát hành
#### – Số chứng chỉ được cấp hôm nay

Arrow

Các yêu cầu đối với chương trình Chứng nhận Thành phần Sinh trắc học được phát triển theo các tiêu chuẩn ISO: ISO / IEC 19795 và SO / IEC 30107.

Arrow

Với hơn 600 sản phẩm được Chứng nhận FIDO trên thị trường, Xác thực FIDO đại diện cho cách tốt nhất để các tổ chức triển khai xác thực đơn giản hơn, mạnh mẽ hơn, đáp ứng các yêu cầu khắt khe của GDPR – đồng thời nâng cao trải nghiệm người dùng. Đọc “Xác thực FIDO và Quy định chung về bảo vệ dữ liệu (GDPR)” (https://media.fidoalliance.org/wp-content/uploads/FIDO_Authentication_and_GDPR_White_Paper_May2018-1.pdf) để tìm hiểu thêm.

Arrow

Đúng. Các tiêu chuẩn FIDO cung cấp cho các tổ chức một cách dễ dàng triển khai để đáp ứng các yêu cầu của PSD2 SCA đồng thời đáp ứng nhu cầu của tổ chức và người dùng về sự thuận tiện trong giao dịch. Chúng tôi nêu chi tiết chính xác lý do và cách thức trong bài báo “FIDO & PSD2: Đáp ứng nhu cầu xác thực mạnh mẽ của người tiêu dùng.” (https://media.fidoalliance.org/wp-content/uploads/FIDO-PSD2-white-paper-FINAL. pdf)