WebAuthn

Web Authentication (WebAuthn) 是由万维网联盟 (W3C) 发布的一项网络标准。WebAuthn 是 FIDO 联盟指导下的 FIDO2 项目的核心组成部分。该项目的目标是标准化一个接口，以便使用公钥密码术对基于 Web 的应用程序和服务进行用户身份验证。

与传统的 U2F 类似，Web Authentication 可以抵抗验证者冒充，即它可以抵抗主动中间人攻击，但与 U2F 不同，WebAuthn 不需要传统的密码。此外，漫游硬件认证器可以抵抗恶意软件，因为私钥材料在任何时候都无法被主机上运行的软件访问。Passkey 是某些供应商用于指代 WebAuthn 或 FIDO 凭据的另一个术语。

FIDO2 与 U2F

FIDO2 是 FIDO 通用第二因素 U2F 遗留协议的继任者。FIDO2 身份验证具有 U2F 的所有优点——主要区别在于 FIDO2 认证器也可以是单因素（无密码）认证器。U2F 协议旨在作为第二因素，以加强现有的基于用户名/密码的登录流程。

网站身份验证

WebAuthn/FIDO2 受 Google、Facebook、Twitter 或 GitHub 等主要网站支持。请访问 https://www.dongleauth.com/ 查找其他网站以及设置文档的链接。主要网站提供不同的 WebAuthn 变体，但可能首先提供 Passkeys 身份验证，因为这允许将凭据临时同步到基于云的帐户，而不是依赖单独的硬件认证器或密码管理器。

现代浏览器（如 Firefox 和 Chromium）独立支持 WebAuthn 身份验证，无需其他依赖项。

有关测试 WebAuthn 身份验证过程的演示站点，请访问 https://webauthn.io/。

本地 Linux 身份验证 (PAM)

有关使用 U2F 身份验证的信息，请参阅 U2F。

使用 FIDO2 认证器进行本地登录

FIDO2 规范包含一个名为 HMAC Secret Extension (hmac-secret) 的扩展，该扩展允许安全地使用存储在认证器上的共享密钥进行本地身份验证。

设置使用 FIDO2 进行本地身份验证过程的最简单方法之一是通过使用 systemd-homed 和 homectl 的设置选项。

提示与技巧

使用 TPM 作为 FIDO 设备

要将 TPM 用作 FIDO 设备，请安装 tpm-fido-git^AUR。这对于测试或者在您没有 FIDO 密钥时很有用。

另一个选择是 https://github.com/matejsmycka/linux-id，它是原始 tpm-fido 的一个分支。

支持

• Chromium：自 v70 起支持
• Firefox：自 v60 起支持
• bitwarden：web 扩展 firefox-extension-bitwarden-bin^AUR、bitwarden-chromium^AUR 允许直接在保险库中保存密钥，而无需安全密钥。
• KeePassXC

另请参阅

• https://fidoalliance.org/specs/fido-v2.0-rd-20180702/fido-client-to-authenticator-protocol-v2.0-rd-20180702.html
• https://fidoalliance.org/specs/fido-v2.0-rd-20180702/fido-client-to-authenticator-protocol-v2.0-rd-20180702.html#sctn-hmac-secret-extension
• Passkeys：一个破碎的梦想