当服务部署 FIDO 身份验证时,它必须具有安全的帐户恢复过程,以解决丢失、损坏或被盗的 FIDO 身份验证器。 之前的 FIDO 联盟白皮书《 FIDO 信赖方的推荐帐户恢复做法》推荐了两种策略:
- 要求用户注册多个身份验证器,以减少帐户恢复的需要;
如果 #1 不可行:
- 重新运行初始身份证明或用户载入过程以恢复帐户。
第一种策略是需要多个身份验证器,对于启用了 FIDO 的面向消费者的帐户起着非常重要的作用,在这些帐户中,帐户恢复选项的数量可能会受到限制。 这包括在注册 FIDO 凭据后禁用密码,或者为双重身份验证注册密码和 FIDO 凭据的情况。
本文重点介绍第一种策略,并提供有关如何使用多个身份验证器部署 FIDO 身份验证的指导。 它讨论了如何基于启用了 FIDO 的浏览器和平台注册绑定到已注册身份验证器的新身份验证器、安全注意事项、覆盖率/身份验证器选项、可用性和策略。 它提供了有关注册方法的建议和部署解决方案的策略示例。