FIDO2 无密码身份验证的工作原理通常是使用密钥作为帐户身份验证的第一个主要因素。简单来说，当用户注册 FIDO2 支持的联机服务时，注册以执行身份验证的客户端设备会生成仅适用于该 Web 应用或网站的密钥对。

公钥已加密并与服务共享，但私钥在用户设备上保持安全。然后，每次用户尝试登录服务时，服务都会给客户端带来独特的挑战。客户端激活密钥设备以使用私钥对请求进行签名并返回请求。这使得该流程受到加密保护，免遭网络钓鱼。

FIDO2 验证器的类型 在设备可以生成唯一的 FIDO2 密钥集之前，它必须确认正在请求访问的用户不是未经授权的用户或恶意软件类型。它使用验证器执行此操作，验证器是可以接受 PIN、生物特征或其他用户手势的设备。

FIDO 验证器有两种类型：

漫游（或跨平台）验证器 这些验证器是独立于用户客户端设备的便携式硬件设备。漫游验证器包括安全密钥、智能手机、平板电脑、可穿戴设备，以及通过 USB 协议或近场通信 (NFC) 和蓝牙无线技术与客户端设备连接的其他设备。用户可通过多种方式验证身份，例如，插入 FIDO 密钥并按下按钮或在智能手机上提供指纹等生物特征。 漫游验证器也称为跨平台验证器，因为它们允许用户随时随地在多台计算机上进行身份验证。

平台（或绑定）验证器 这些验证器嵌入到用户客户端设备中，无论是台式机、笔记本电脑、平板电脑还是智能手机。平台验证器包含用于保护密钥的生物特征功能和硬件芯片，要求用户使用客户端设备登录到 FIDO 支持的服务，然后通过同一设备（通常使用生物特征或 PIN）进行身份验证。

使用生物特征数据的平台验证器示例包括 Microsoft Windows Hello、Apple Touch ID 和 Face ID 以及 Android 指纹。

如何注册并登录到 FIDO2 支持的服务： 要利用 FIDO2 身份验证提供的增强安全性，请执行以下基本步骤：

如何注册 FIDO2 支持的服务： 步骤 1：注册服务时，将提示你选择受支持的 FIDO 验证器方法。 步骤 2：使用验证器支持的简单手势激活 FIDO 验证器，无论是输入 PIN、触摸指纹读取器还是插入 FIDO2 安全密钥。 步骤 3：激活验证器后，设备将生成私钥和公钥对，该对对于你的设备、帐户和服务具有唯一性。 步骤 4：本地设备安全地存储私钥以及与身份验证方法相关的任何机密信息，例如生物特征数据。公钥已加密，并随随机生成的凭据 ID 一起注册到服务并存储在其验证器服务器上。 如何登录到 FIDO2 支持的服务： 步骤 1：服务发出加密质询以确认你的状态。 步骤 2：出现提示时，执行在帐户注册期间使用的相同验证器手势。使用手势确认状态后，设备将使用本地存储在设备上的私钥对质询进行签名。 步骤 3：设备将签名质询发送回服务，服务使用安全注册的公钥对其进行验证。 步骤 4：完成后，你已登录。