安全行業(yè)有一個共識：密碼終將會消失。但是從目前的情況來看，密碼的壽命還會很長，甚至在數(shù)量上還有越來越多的趨勢。靜態(tài)密碼是由用戶自己設(shè)定的，一些人為方便記憶，將密碼設(shè)置為生日或是純數(shù)字，結(jié)果遭遇不法分子的輕松破解。目前，靜態(tài)密碼存在如下風險：

靜態(tài)密碼安全由于等級過低很容易被惡意人員或猜到、破解，從而引發(fā)信息泄露事件。有調(diào)查表明，超過80%的入侵事件，都是利用了被盜口令或者弱口令，目前，身份竊取已成為最主要的攻擊點。

為了進一步提高賬戶安全性，雙因素身份認證應(yīng)運而生。的2FA方式就是短信驗證碼，OTP動態(tài)令牌，基于USBKey的CA認證等等。

短信驗證碼依賴信任手機和SIM卡以及運營商基站，但手機和SIM存在丟失、被盜，基站存在被偽造的情況，甚至可以通過釣魚網(wǎng)站、中間人攻擊等手段獲取用戶正確的驗證碼，從而導(dǎo)致短信驗證碼驗證方式的安全性大打折扣；

OTP動態(tài)令牌，UsbKey CA證書使用獨立硬件作為身份認證的入口，要隨身帶硬件設(shè)備并且依賴負責的后端服務(wù)器來管理，成本較大且在使用過程中十分不便捷，同時，沒有統(tǒng)一的認證標準各個廠商各自維護自有協(xié)議。

為了賬戶的安全性和便捷性同時得到保障，使用人體*的生物特征作為驗證手段是非常有吸引力的，隨著計算機算法的發(fā)展，生物特征識別的準確率越來越精確，而生物識別的硬件設(shè)備也越來越便宜高效，大部分手機廠商已經(jīng)內(nèi)置了豐富的生物識別設(shè)備，使得生物特征認證越來越受到歡迎。目前的一個趨勢是采用即插即用的本地身份認證，用戶的隱私、生物特征信息及其產(chǎn)生的私鑰保存在可信設(shè)備手機之中，具有更好的安全性、便捷性、適配性以及隱私保護性。

在線快速身份驗證聯(lián)盟立于2012年，它的目標是創(chuàng)建一套開放、可擴展的標準協(xié)議，支持對Web應(yīng)用的非密碼安全認證，消除或減弱用戶對密碼的依賴。

FIDO認證主要是通過無密碼UAF和第二因子U2F來實現(xiàn)安全登錄。

用戶選擇一個本地的認證方案（例如按一下指紋、看一下攝像頭、對麥克說話，輸入一個PIN等)把他的設(shè)備注冊到在線服務(wù)上去。只需要一次注冊，之后用戶再需要去認證時，就可以簡單的重復(fù)一個認證動作即可。用戶在進行身份認證時，不在需要輸入他們的密碼了。UAF也允許組合多種認證方案，比如指紋+PIN。

UAF適用于典型的2C業(yè)務(wù)場景，基于手機、平板、智能手表內(nèi)置的生物識別設(shè)備進行驗證無需增加其他設(shè)備。

U2F是在現(xiàn)有的用戶名+密碼認證的基礎(chǔ)之上，增加一個更安全的認證因子用于登錄認證。用戶可以像以前一樣通過用戶名和密碼登錄服務(wù)，服務(wù)會提示用戶出示一個第二因子設(shè)備來進行認證。U2F可以使用簡單的密碼（比如4個數(shù)字的PIN）而不犧牲安全性。U2F出示第二因子的形式一般是按一下USB設(shè)備上的按鍵或者放入NFC。

U2F適用于典型的2B業(yè)務(wù)場景，基本PC用戶的使用場景，企業(yè)可以為內(nèi)部人員配備專業(yè)的FIDO設(shè)備硬件用于應(yīng)用系統(tǒng)的登錄認證。

1. 用戶登錄，通過瀏覽器獲取手機APP，收集客戶端信息、設(shè)備指紋、上下文、地理位置等信息，提交到服務(wù)端；

4. 服務(wù)端驗證通過，給客戶端頒發(fā)Token。