Wat is FIDO?

De FIDO-alliantie

De Fast Identity Online (FIDO) Alliance is een consortium van toonaangevende techbedrijven, overheidsinstanties, dienstverleners, financiële instellingen, betalingsverwerkers en andere industrieën dat in 2013 werd gelanceerd met als doel het gebruik van wachtwoorden op websites, apps en apparaten uit te bannen.

Wie maakt deel uit van de FIDO Alliantie?

De FIDO Alliance telt meer dan 250 leden, waaronder wereldleiders op het gebied van technologie voor ondernemingen, betalingen, telecommunicatie, overheid en gezondheidszorg. Toonaangevende bedrijven zoals Microsoft, Google, Apple, Amazon, Facebook, Mastercard, American Express, VISA, PayPal en OneSpan hebben een lidmaatschap op bestuursniveau.

Wat is FIDO-authenticatie?

FIDO-authenticatie is het geesteskind van de FIDO Alliance. Het doel van de FIDO-authenticatienormen is het gebruik van wachtwoorden terug te dringen en de authenticatienormen op desktops en mobiele apparaten te verbeteren. FIDO is ontworpen om de veiligheid en privacy van mensen te beschermen, aangezien privésleutels en biometrische gegevens, indien gebruikt, nooit het apparaat van een persoon verlaten. U kunt bijvoorbeeld een vingerafdruk nemen of een eenmalige PIN-code invoeren, en hoeft geen ingewikkeld wachtwoord te onthouden. FIDO wordt ook ondersteund door de belangrijkste browsers en besturingssystemen, zoals de Windows 10- en Android-platforms, de webbrowsers Google Chrome, Mozilla Firefox, Microsoft Edge en Apple Safari.

Statische wachtwoorden zijn voor cybercriminelen gemakkelijk te stelen via phishing, malware en andere soorten aanvallen. Bovendien hebben grote datalekken ervoor gezorgd dat gebruikersnamen, wachtwoorden en andere persoonlijk identificeerbare informatie (PII) op het dark web beschikbaar zijn gekomen voor criminelen. Dit heeft geleid tot een explosieve toename van financiële fraude zoals account takeover, social engineering en Man-in-the-Middle aanvallen. Overheden, beleidsmakers en regelgevende instanties hebben sindsdien gereageerd met de invoering van wet- en regelgeving op het gebied van cyberbeveiliging en gegevensbeveiliging, die financiële instellingen en andere organisaties verplichten de toegang tot hun portals, apps en systemen te beveiligen door middel van multifactorauthenticatie (MFA) en sterke klantenauthenticatie (SCA). In 2013, toen de FIDO Alliance werd gelanceerd, was het publiek zich steeds meer bewust van datalekken. Vandaag, na opvallende inbreuken zoals Yahoo (3 miljard accounts blootgesteld), Marriott (500 miljoen) en Equifax (147 miljoen), is het duidelijk dat de toegang tot online accounts en systemen moet worden beschermd door sterke authenticatie in plaats van wachtwoorden.
 

FIDO AUTHENTICATION

FIDO AUTHENTICATION

Solutions based on the FIDO standard for simpler, stronger authentication using an open, scalable, and interoperable approach

Learn More


Hoe maakt FIDO-authenticatie inloggen zonder wachtwoord mogelijk?

De FIDO Alliance heeft specificaties en certificeringen opgesteld die interoperabel zijn met de hardware en mobiele authenticatoren van vele leveranciers, en met biometrische authenticatie zoals gezichtsherkenning, op verschillende browsers en besturingssystemen. Dit maakt een wachtwoordloze verificatie en aanmelding bij veel apps en websites mogelijk voor een soepelere gebruikerservaring. FIDO-authenticatienormen zijn gebaseerd op openbare-sleutelcryptografie en zijn ontworpen om een veilige, gemakkelijke inlogervaring en betere beveiliging te bieden voor web- en onlinediensten, tegen lagere kosten. De nieuwste authenticatiespecificatie van FIDO is de Client to Authenticator Protocols (CTAP). CTAP is een aanvulling op de Web Authentication (WebAuthn)-specificatie van het W3C; WebAuthn is de standaard web-API die in webbrowsers en -platforms is ingebouwd en ondersteuning voor FIDO Authentication mogelijk maakt. De combinatie van CTAP en WebAuthn staat bekend als FIDO2.

FIDO2 is het nieuwste protocol van de FIDO alliantie

FIDO2 is het nieuwste FIDO-authenticatieprotocol. De FIDO Alliance heeft FIDO2 ontwikkeld, dat handiger is en meer veiligheid biedt dan de traditionele wachtwoordbeveiliging, en deze norm is goedgekeurd door het World Wide Web Consortium (W3C). De FIDO2-specificaties zijn samengesteld uit het Web Authentication (WebAuthn)-protocol van het W3C en het Client-to-Authenticator Protocol (CTAP) van de FIDO Alliance. Samen maken deze componenten authenticatie mogelijk.

CTAP

Met CTAP kunnen gebruikers inloggen zonder wachtwoord door een beveiligingssleutel of hun mobiele telefoon te gebruiken om authenticatiegegevens via USB, Bluetooth of NFC (Near Field Communication) door te geven aan iemands toestel. Als gevolg daarvan maakt CTAP het gemakkelijker om zich te authenticeren bij webbrowsers.

WebAuthn

WebAuthn stelt onlinediensten in staat FIDO-authenticatie te gebruiken via een standaard web-API (application programming interface) die in browsers kan worden ingebouwd en waarmee apparaten kunnen communiceren. Samen stellen WebAuthn en CTAP gebruikers in staat om zich te identificeren met biometrische kenmerken, PIN's of externe FIDO-authenticators, aan een FIDO2-server die bij een website of webapp hoort. FIDO2 is achterwaarts compatibel met eerder gecertificeerde FIDO-beveiligingshardware.

Hoe FIDO-authenticatie de veiligheid en privacy verbetert

De FIDO-specificaties voor authenticatie zijn ontworpen om de privacy van de gebruiker te beschermen, omdat FIDO voorkomt dat de informatie van een klant kan worden getraceerd over de verschillende onlinediensten die hij gebruikt. FIDO is specifiek ontworpen om de privacy van gebruikers te verbeteren.

FIDO en publieke sleutelinfrastructuur (PKI)

FIDO is gebaseerd op cryptografie met een openbare sleutel. Volgens Gartner"werd PKI (Public-key infrastructure) voornamelijk ontwikkeld om veilige informatie-uitwisselingen over onveilige netwerken te ondersteunen". Een goed voorbeeld is een consument die met zijn bank een transactie doet via de app voor mobiel bankieren op zijn telefoon. De communicatie tussen de server van de bank en de telefoon van de klant moet worden versleuteld. Dit wordt gedaan met cryptografische sleutels, bekend als een privaat en publiek sleutelpaar. Zie deze PKI-sleutels als het vergrendelen en ontgrendelen van gecodeerde privé-informatie over de banktransactie. De openbare sleutel wordt geregistreerd bij de on-linedienst, bijvoorbeeld de server van een bank. De privésleutel van de cliënt kan pas worden gebruikt nadat de gebruiker deze op het toestel heeft ontgrendeld. Daardoor zijn er geen servergeheimen die cybercriminelen kunnen stelen.  

Bovendien wordt er geen informatie gedeeld tussen de openbare en de particuliere sleutel. Als u zich bijvoorbeeld wilt authenticeren bij een onlinedienst die FIDO-authenticatie ondersteunt, kunt u dat doen met een FIDO 2FA authenticator die u op de USB-poort van uw laptop aansluit. Of, als u een Apple- of Android-smartphone met FIDO-ondersteuning gebruikt, kunt u uw telefoon gebruiken als uw FIDO-authenticator. Eerst wordt u gevraagd een FIDO2-authenticator te kiezen, zoals Digipass FIDO Touch van OneSpan, die overeenstemt met het aanvaardingsbeleid van de onlinedienst. U zou dan uw FIDO-authenticator ontgrendelen met een PIN, vingerafdruk, gezichtsscan of een knop op een hardwareapparaat. Door FIDO-authenticatie te gebruiken om in te loggen, is een wachtwoord overbodig geworden.

Hoe FIDO-authenticatie phishing en andere aanvallen helpt voorkomen

FIDO-authenticatie maakt wachtwoorden overbodig. Wachtwoorden zijn de zwakste schakel in de verificatieketen. Daardoor zijn de FIDO-normen beter bestand tegen social engineering-aanvallen zoals phishing, waarbij criminelen mensen met emotionele of overtuigende oproepen proberen te verleiden om op kwaadaardige links te klikken om hun gebruikersnamen, wachtwoorden en gevoelige informatie te stelen. FIDO-authenticatie bestrijdt ook Man-in-the-Middle-aanvallen (MITM), die de communicatie tussen het apparaat van een klant en de server van een financiële instelling kunnen onderscheppen. Bij dit soort aanval kan een crimineel een financiële transactie in zijn eigen voordeel veranderen. De FIDO-specificatie is gericht op privacy, aangezien de privésleutels en biometrische sjablonen het toestel van de gebruiker nooit verlaten en nooit op een server worden opgeslagen. De sleutels zijn uniek voor elke transactie, waardoor het aanvalsoppervlak voor cybercriminelen kleiner is. Door een PIN, vingerafdruk of gezichtsscan te vereisen, verifieert de FIDO-authenticator dat de persoon die inlogt een echte, levende mens achter de computer is, en niet een hacker of trojan op afstand.

Hoe FIDO-authenticatie de klantervaring vereenvoudigt

De klant hoeft niet langer complexe, meervoudige wachtwoorden voor verschillende apparaten of websites te onthouden. Met hun biometrische gegevens of PIN-code kunnen zij hun privésleutel op hun apparaat ontgrendelen met een eenvoudige handeling, zoals een vingerafdruk of gezichtsscan, het invoeren van een eenmalige toegangscode (OTP), het gebruik van spraakherkenning of het intypen van een OTP die door een hardwaretoken wordt gegenereerd. De openbare sleutel wordt opgeslagen op de server van de bank om te verifiëren wat met de particuliere sleutel werd ondertekend, hetzij voor authentificatie, hetzij voor een transactie. Credentials worden nooit verstuurd naar of opgeslagen door een bedrijf waarmee u een transactie sluit. Dit beschermt de privacy en helpt aanmeldingsgegevens te beschermen tegen criminele toegang. De normen verbeteren ook de online-klantervaring en kunnen helpen de klantentrouw te vergroten door het gebruik van sterke authenticatie gemakkelijker te maken.

Compliance

De FIDO-normen zijn in overeenstemming met de regelgeving voor sterkere gebruikersauthenticatie. FIDO is ontworpen om te voldoen aan de eisen in de herziene Payment Services Directive (PSD2) Regulatory Technical Specifications (RTS) van de Europese Unie, omdat de authenticatie van klanten gebaseerd moet zijn op twee of meer factoren, waaronder wachtwoorden of PIN, tokens of mobiele apparaten, of biometrie.

De FIDO-normen zijn ook ontworpen om te voldoen aan:

  • De Algemene verordening gegevensbescherming (GDPR): Elke organisatie die de gegevens van EU-burgers beheert, opslaat of verwerkt, is onderworpen aan de GDPR-voorschriften. Het gebruik van een PIN-code of biometrische gegevens om na te gaan of iemand wel degelijk is wie hij zegt dat hij is, is een voorbeeld van multifactorauthenticatie zoals vereist door de GDPR.
  • De Financiële Actiegroep Witwassen van Geld (FATF): De leidraad Digitale Identiteit van de FATF stelt: "De risicogebaseerde aanpak die in deze leidraad wordt aanbevolen, steunt op een reeks open source, consensusgestuurde garantiekaders en technische normen voor digitale ID-systemen."
  • Cyberbeveiligingsvoorschriften van het New York Department of Financial Services (NYDFS): De grootste toezichthouder van de staat New York is de NYDFS. De NYDFS heeft cyberbeveiligingseisen voor financiële dienstverleners ingevoerd, die het gebruik van MFA verplicht stellen "ter bescherming tegen ongeoorloofde toegang tot niet-openbare informatie of informatiesystemen" - waarbij niet-openbare informatie de privégegevens van de betrokkene zijn.
  • Het National Institute of Standards and Technology (NIST): FIDO-authenticatie is ontworpen om te voldoen aan de eisen die het NIST stelt voor de authenticatie van gebruikers tot zijn netwerken, omdat zij voldoet aan de NIST-richtsnoeren voor sterke authenticatie.

Neem contact met ons op

Neem contact op met een van onze beveiligingsexperts voor meer informatie over hoe onze oplossingen u kunnen helpen met uw digitale beveiligingsbehoeften