Co to jest FIDO?

Sojusz FIDO

Fast Identity Online (FIDO) Alliance to konsorcjum wiodących firm technologicznych, agencji rządowych, dostawców usług, instytucji finansowych, procesorów płatności i innych branż, które powstało w 2013 roku w celu wyeliminowania stosowania haseł na stronach internetowych, w aplikacjach i urządzeniach.

Kto wchodzi w skład Sojuszu FIDO?

FIDO Alliance ma ponad 250 członków, w tym światowych liderów technologii w dziedzinie przedsiębiorstw, płatności, telekomunikacji, administracji rządowej i opieki zdrowotnej. Wiodące firmy, takie jak Microsoft, Google, Apple, Amazon, Facebook, Mastercard, American Express, VISA, PayPal i OneSpan mają członkostwo na poziomie zarządu.

Czym jest uwierzytelnianie FIDO?

Uwierzytelnianie FIDO jest pomysłem organizacji FIDO Alliance. Celem standardów uwierzytelniania FIDO jest ograniczenie stosowania haseł i poprawa standardów uwierzytelniania na komputerach stacjonarnych i urządzeniach mobilnych. FIDO ma na celu ochronę bezpieczeństwa i prywatności ludzi, ponieważ klucze prywatne i dane biometryczne, jeśli są używane, nigdy nie opuszczają urządzenia danej osoby. Możesz na przykład przeciągnąć palcem lub wprowadzić jednorazowy kod PIN i nie musisz pamiętać skomplikowanego hasła. FIDO jest również obsługiwane przez najważniejsze przeglądarki i systemy operacyjne, takie jak platformy Windows 10 i Android, przeglądarki internetowe Google Chrome, Mozilla Firefox, Microsoft Edge i Apple Safari.

Hasła statyczne są łatwe do wykradzenia przez cyberprzestępców za pomocą phishingu, złośliwego oprogramowania i innych rodzajów ataków. Ponadto, duże naruszenia danych spowodowały, że w Ciemnej Sieci przestępcy znaleźli mnóstwo nazw użytkowników, haseł i innych informacji umożliwiających identyfikację osób (PII). Spowodowało to gwałtowny wzrost liczby oszustw finansowych, takich jak przejmowanie kont, inżynieria społeczna i ataki typu Man-in-the-Middle. Rządy, decydenci i regulatorzy zareagowali na to wprowadzając przepisy i regulacje dotyczące bezpieczeństwa cybernetycznego i bezpieczeństwa danych, które nakazują instytucjom finansowym i innym organizacjom chronić dostęp do swoich portali, aplikacji i systemów poprzez uwierzytelnianie wieloczynnikowe (MFA) i silne uwierzytelnianie klienta (SCA). W 2013 roku, kiedy FIDO Alliance zostało uruchomione, świadomość społeczna dotycząca naruszeń danych rosła. Dziś, po głośnych przypadkach naruszenia bezpieczeństwa, takich jak Yahoo (3 miliardy kont narażonych na atak), Marriott (500 milionów) i Equifax (147 milionów), jasne jest, że dostęp do kont i systemów online musi być chroniony przez silne uwierzytelnianie zamiast haseł.
 

FIDO AUTHENTICATION

FIDO AUTHENTICATION

Solutions based on the FIDO standard for simpler, stronger authentication using an open, scalable, and interoperable approach

Learn More


W jaki sposób uwierzytelnianie FIDO umożliwia logowanie bez hasła

Sojusz FIDO stworzył specyfikacje i certyfikaty, które są interoperacyjne z wieloma sprzedawcami sprzętowych i mobilnych urządzeń uwierzytelniających oraz uwierzytelniania biometrycznego, takiego jak rozpoznawanie twarzy, w różnych przeglądarkach i systemach operacyjnych. Pozwala to na bezhasłowe uwierzytelnianie i logowanie do wielu aplikacji i stron internetowych, co zapewnia płynniejsze korzystanie z nich. Standardy uwierzytelniania FIDO oparte są na kryptografii klucza publicznego i mają na celu zapewnienie bezpiecznego, łatwego logowania i lepszego zabezpieczenia usług internetowych i online, przy niższych kosztach. Najnowszą specyfikacją uwierzytelniania FIDO jest Client to Authenticator Protocols (CTAP). CTAP jest uzupełnieniem specyfikacji Web Authentication (WebAuthn) W3C; WebAuthn jest standardowym API sieciowym wbudowanym w przeglądarki internetowe i platformy umożliwiające wsparcie dla FIDO Authentication. CTAP i WebAuthn połączone razem są znane jako FIDO2.

FIDO2 to najnowszy protokół sojuszu FIDO

FIDO2 to najnowszy protokół uwierzytelniania FIDO. FIDO Alliance opracowało standard FIDO2, który jest wygodniejszy i zapewnia większe bezpieczeństwo niż tradycyjna ochrona hasłem, a standard ten został zatwierdzony przez World Wide Web Consortium (W3C). Specyfikacja FIDO2 składa się z protokołu Web Authentication (WebAuthn) W3C oraz Client-to-Authenticator Protocol (CTAP) FIDO Alliance. Wszystkie te elementy razem umożliwiają uwierzytelnianie.

CTAP

CTAP pozwala użytkownikom logować się bez hasła za pomocą klucza bezpieczeństwa lub telefonu komórkowego, który przekazuje dane uwierzytelniające przez USB, Bluetooth lub NFC (Near Field Communication) do urządzenia danej osoby. W efekcie CTAP ułatwia uwierzytelnianie się w przeglądarkach internetowych.

WebAuthn

WebAuthn pozwala usługom online korzystać z uwierzytelniania FIDO poprzez standardowy interfejs API (interfejs programowania aplikacji), który może być wbudowany w przeglądarki i pozwala na komunikację urządzeń. WebAuthn i CTAP razem pozwalają użytkownikom identyfikować się za pomocą biometrii, kodów PIN lub zewnętrznych urządzeń uwierzytelniających FIDO na serwerze FIDO2 należącym do strony internetowej lub aplikacji internetowej. FIDO2 jest wstecznie kompatybilny z wcześniej certyfikowanym sprzętem zabezpieczającym FIDO.

Jak uwierzytelnianie FIDO poprawia bezpieczeństwo i prywatność

Specyfikacje FIDO dla uwierzytelniania mają na celu ochronę prywatności użytkownika, ponieważ FIDO zapobiega śledzeniu informacji o kliencie w różnych usługach online, z których korzysta. FIDO zostało zaprojektowane specjalnie w celu poprawy prywatności użytkowników.

FIDO i infrastruktura klucza publicznego (PKI)

FIDO opiera się na kryptografii klucza publicznego. Według Gartnera, "Infrastruktura klucza publicznego (PKI) została opracowana głównie w celu wspierania bezpiecznej wymiany informacji w niezabezpieczonych sieciach". Dobrym przykładem jest konsument dokonujący transakcji ze swoim bankiem poprzez aplikację bankowości mobilnej w swoim telefonie. Komunikacja pomiędzy serwerem banku a telefonem klienta musi być zaszyfrowana. Odbywa się to za pomocą kluczy kryptograficznych, znanych jako para kluczy prywatnych i publicznych. Pomyśl o tych kluczach PKI jako o blokowaniu i odblokowywaniu zaszyfrowanych prywatnych informacji o transakcji bankowej. Klucz publiczny jest rejestrowany w usłudze online, na przykład na serwerze banku. Klucz prywatny klienta może być użyty dopiero po jego odblokowaniu na urządzeniu przez użytkownika. W rezultacie, nie ma żadnych tajemnic po stronie serwera, które cyberprzestępcy mogliby wykraść.  

Ponadto, pomiędzy kluczem publicznym i prywatnym nie są przekazywane żadne informacje. Na przykład, jeśli chcesz uwierzytelnić się w usłudze online, która obsługuje uwierzytelnianie FIDO, możesz to zrobić za pomocą urządzenia uwierzytelniającego FIDO 2FA, które podłącza się do portu USB laptopa. Lub, jeśli używasz smartfona Apple lub Android z obsługą FIDO, możesz użyć swojego telefonu jako uwierzytelniacza FIDO. Po pierwsze, zostaniesz poproszony o wybranie uwierzytelniacza FIDO2, takiego jak Digipass FIDO Touch firmy OneSpan, który pasuje do polityki akceptacji usługi online. Następnie odblokowujesz swój uwierzytelniacz FIDO za pomocą kodu PIN, odcisku palca, skanu twarzy lub przycisku na urządzeniu sprzętowym. Używanie uwierzytelniania FIDO do logowania właśnie wyeliminowało konieczność podawania hasła.

Jak uwierzytelnianie FIDO pomaga zapobiegać phishingowi i innym atakom

Uwierzytelnianie FIDO eliminuje hasła. Hasła są najsłabszym ogniwem w łańcuchu uwierzytelniania. W rezultacie, standardy FIDO są bardziej odporne na ataki socjotechniczne, takie jak phishing, w których przestępcy próbują oszukać ludzi za pomocą emocjonalnych lub przekonujących odwołań do kliknięcia na złośliwe linki w celu kradzieży ich nazw użytkownika, haseł i poufnych informacji. Uwierzytelnianie FIDO zwalcza również ataki typu Man-in-the-Middle (MITM), które mogą przechwycić komunikację pomiędzy urządzeniem klienta a serwerem instytucji finansowej. W tego typu atakach przestępca może zmienić transakcję finansową na swoją korzyść. Specyfikacja FIDO odnosi się do prywatności, ponieważ klucze prywatne i szablony biometryczne nigdy nie opuszczają urządzenia użytkownika i nie są przechowywane na serwerze. Klucze są unikalne dla każdej transakcji, dzięki czemu powierzchnia ataku dla cyberprzestępców jest mniejsza. Wymagając podania kodu PIN, odcisku palca lub skanu twarzy, uwierzytelniacz FIDO weryfikuje, że osoba logująca się jest prawdziwym, żywym człowiekiem stojącym za komputerem, a nie zdalnym hakerem lub trojanem.

Jak uwierzytelnianie FIDO upraszcza obsługę klienta

Klient nie musi już pamiętać skomplikowanych, wielokrotnych haseł do różnych urządzeń lub stron internetowych. Ich dane biometryczne lub kod PIN umożliwiają im odblokowanie klucza prywatnego na urządzeniu za pomocą prostej czynności, takiej jak skanowanie odcisku palca lub twarzy, wprowadzenie kodu jednorazowego (OTP), użycie funkcji rozpoznawania głosu lub wpisanie OTP wygenerowanego przez token sprzętowy. Klucz publiczny jest przechowywany na serwerze banku, aby zweryfikować to, co zostało podpisane kluczem prywatnym w celu uwierzytelnienia lub dokonania transakcji. Dane uwierzytelniające nigdy nie są przesyłane ani przechowywane przez firmę, z którą dokonujesz transakcji. Chroni to prywatność i pomaga zabezpieczyć dane logowania przed dostępem przestępców. Standardy te poprawiają również doświadczenia klientów online i mogą pomóc w zwiększeniu ich lojalności poprzez ułatwienie stosowania silnego uwierzytelniania.

Zgodność

Standardy FIDO są zgodne z regulacjami dotyczącymi silniejszego uwierzytelniania użytkowników. FIDO zostało zaprojektowane, aby spełnić wymagania zawarte w zmienionej dyrektywie Unii Europejskiej w sprawie usług płatniczych (PSD2) w Regulacyjnych Specyfikacjach Technicznych (RTS), ponieważ uwierzytelnianie klienta musi być oparte na dwóch lub więcej czynnikach, w tym hasłach lub kodach PIN, tokenach lub urządzeniach mobilnych, lub biometrii.

Standardy FIDO są również zaprojektowane pod kątem zgodności z:

  • Ogólne rozporządzenie o ochronie danych (GDPR): Każda organizacja operująca, przechowująca lub przetwarzająca dane obywateli UE podlega wymogom GDPR. Użycie kodu PIN lub danych biometrycznych w celu sprawdzenia, czy dana osoba jest tym, za kogo się podaje, jest przykładem uwierzytelniania wieloczynnikowego wymaganego przez GDPR.
  • Grupa Specjalna ds. Przeciwdziałania Praniu Pieniędzy (FATF): Wytyczne FATF dotyczące tożsamości cyfrowej stwierdzają, że "Podejście oparte na ryzyku zalecane w niniejszych wytycznych opiera się na zestawie otwartych, opartych na konsensusie ram zapewnienia i standardów technicznych dla systemów identyfikacji cyfrowej."
  • Przepisy dotyczące bezpieczeństwa cybernetycznego z nowojorskiego Departamentu Usług Finansowych (NYDFS): Największym państwowym organem regulacyjnym stanu Nowy Jork jest NYDFS. NYDFS wprowadził Cybersecurity Requirements for Financial Services Companies, które wymagają stosowania MFA "w celu ochrony przed nieautoryzowanym dostępem do niepublicznych informacji lub systemów informacyjnych" - przy czym informacje niepubliczne to prywatne informacje danej osoby.
  • Narodowy Instytut Standardów i Technologii (NIST): uwierzytelnianie FIDO zostało zaprojektowane tak, aby spełniać wymagania określone przez NIST w zakresie uwierzytelniania użytkowników w sieciach, ponieważ spełnia wytyczne NIST dotyczące silnego uwierzytelniania.

Skontaktuj się z nami

Skontaktuj się z jednym z naszych ekspertów ds. bezpieczeństwa, aby dowiedzieć się więcej o tym, jak nasze rozwiązania mogą pomóc w Twoich potrzebach w zakresie bezpieczeństwa cyfrowego