Что такое ФИДО?

Альянс FIDO

Альянс Fast Identity Online (FIDO) - это консорциум ведущих технологических компаний, государственных учреждений, поставщиков услуг, финансовых учреждений, платежных систем и других отраслей, который был запущен в 2013 году с целью устранения использования паролей на веб-сайтах, в приложениях и других отраслях. устройств.

Кто входит в Альянс FIDO?

Альянс FIDO Alliance состоит из более чем 250 членов, в том числе мировых лидеров в области технологий в сфере бизнеса, платежей, телекоммуникаций, правительства и здравоохранения. Ведущие компании, такие как Microsoft, Google, Apple, Amazon, Facebook, Mastercard, American Express, VISA, PayPal и OneSpan, имеют членство на уровне правления.

Что такое аутентификация FIDO?

Аутентификация FIDO - это детище Альянса FIDO. Целью стандартов аутентификации FIDO является сокращение использования паролей и улучшение стандартов аутентификации на настольных компьютерах и мобильных устройствах. FIDO предназначен для защиты безопасности и конфиденциальности людей в качестве закрытых ключей и биометрия , если используется, никогда не оставляйте устройство человека. Например, вы можете провести пальцем по отпечатку пальца или ввести одноразовый PIN-код, и вам не нужно запоминать сложный пароль. FIDO также поддерживается основными браузерами и операционными системами, такими как платформы Windows 10 и Android, веб-браузеры Google Chrome, Mozilla Firefox, Microsoft Edge и Apple Safari.

Статические пароли легко украсть киберпреступники с помощью фишинга, вредоносных программ и других типов атак. Кроме того, крупные утечки данных сделали множество имен пользователей, паролей и другой личной информации (PII) доступной для преступников в Dark Web. Это вызвало взрывную волну финансового мошенничества, такого как захват аккаунтов, социальная инженерия и атаки типа Man-in-the-Middle. С тех пор правительства, директивные органы и регулирующие органы отреагировали введением законов и положений о кибербезопасности и безопасности данных, которые обязывают финансовые учреждения и другие организации защищать доступ к своим порталам, приложениям и системам с помощью многофакторной аутентификации (MFA) и надежной аутентификации клиентов (SCA). . В 2013 году, когда был создан Альянс FIDO Alliance, осведомленность общественности об утечках данных росла. Сегодня, после громкие нарушения как Yahoo (открыто 3 миллиарда учетных записей), Marriott (500 миллионов) и Equifax (147 миллионов), очевидно, что доступ к онлайн-учетным записям и системам должен быть защищен надежной аутентификацией вместо паролей.
 

Как аутентификация FIDO позволяет войти в систему без пароля

В ФИДО Альянс разработала спецификации и сертификаты, которые совместимы с оборудованием многих поставщиков и мобильными аутентификаторами, а также с биометрической аутентификацией, такой как распознавание лиц, в различных браузерах и операционных системах. Это позволяет выполнять аутентификацию без пароля и вход во многие приложения и веб-сайты для более удобного взаимодействия с пользователем. Стандарты аутентификации FIDO основаны на криптографии с открытым ключом и предназначены для обеспечения безопасного, простого входа в систему и повышения безопасности для веб-служб и онлайн-сервисов по более низкой цене. Последняя спецификация аутентификации FIDO - это протоколы от клиента к аутентификатору (CTAP). CTAP дополняет Спецификация веб-аутентификации W3C (WebAuthn) ; WebAuthn - это стандартный веб-API, встроенный в веб-браузеры и платформы, обеспечивающий поддержку аутентификации FIDO. CTAP и WebAuthn вместе известны как FIDO2.

FIDO2 - новейший протокол альянса FIDO

FIDO2 - это новейший протокол аутентификации FIDO. FIDO Alliance разработал FIDO2, который более удобен и обеспечивает большую безопасность, чем традиционная защита паролем, и этот стандарт был одобрен Консорциумом World Wide Web (W3C). Спецификации FIDO2 состоят из протокола веб-аутентификации W3C (WebAuthn) и протокола клиент-аутентификатор FIDO Alliance (CTAP). Вместе эти компоненты делают возможной аутентификацию.

CTAP

CTAP позволяет пользователям входить в систему без пароля с помощью ключа безопасности или своего мобильного телефона для передачи учетных данных аутентификации через USB, Bluetooth или NFC (Near Field Communication) на устройство человека. В результате CTAP упрощает аутентификацию для веб-браузеров.

WebAuthn

WebAuthn позволяет онлайн-сервисам использовать аутентификацию FIDO через стандартный веб-API (интерфейс прикладного программирования), который может быть встроен в браузеры и позволяет устройствам обмениваться данными. Вместе WebAuthn и CTAP позволяют пользователям идентифицировать себя с помощью биометрических данных, PIN-кодов или внешних аутентификаторов FIDO на сервере FIDO2, который принадлежит веб-сайту или веб-приложению. FIDO2 обратно совместим с ранее сертифицированным оборудованием безопасности FIDO.

Как аутентификация FIDO повышает безопасность и конфиденциальность

Спецификации FIDO для аутентификации разработаны для защиты конфиденциальности пользователей, поскольку FIDO предотвращает отслеживание информации о клиенте в различных онлайн-сервисах, которые они используют. FIDO был специально разработан для повышения конфиденциальности пользователей.

FIDO и инфраструктура открытых ключей (PKI)

FIDO основан на криптографии с открытым ключом. В соответствии с Gartner , «Инфраструктура открытых ключей (PKI) была разработана в основном для поддержки безопасного обмена информацией по незащищенным сетям». Хорошим примером является клиент, совершающий операции со своим банком через приложение мобильного банкинга на своем телефоне. Связь между сервером банка и телефоном клиента должна быть зашифрована. Это делается с помощью криптографических ключей, известных как пара закрытого и открытого ключей. Эти ключи PKI можно рассматривать как блокировку и разблокировку зашифрованной частной информации о банковской транзакции. Открытый ключ регистрируется в онлайн-сервисе, например, на сервере банка. Закрытый ключ клиента может быть использован только после того, как он будет разблокирован на устройстве пользователем. В результате злоумышленники не могут украсть серверные секреты.  

Кроме того, между открытым и закрытым ключами не передается никакой информации. Например, если вы хотите пройти аутентификацию в онлайн-сервисе, который поддерживает аутентификацию FIDO, вы можете сделать это с помощью устройства аутентификации FIDO 2FA, которое подключается к USB-порту вашего ноутбука. Или, если вы используете смартфон Apple или Android с поддержкой FIDO, вы можете использовать свой телефон в качестве аутентификатора FIDO. Во-первых, вам будет предложено выбрать аутентификатор FIDO2, например Digipass FIDO Touch от OneSpan, который соответствует политике принятия онлайн-сервиса. Затем вы разблокируете свой аутентификатор FIDO, используя PIN-код, отпечаток пальца, сканирование лица или кнопку на аппаратном устройстве. Использование аутентификации FIDO для входа в систему просто устранило необходимость в пароле.

Как аутентификация FIDO помогает предотвратить фишинг и другие атаки

Аутентификация FIDO исключает пароли. Пароли - самое слабое звено в цепочке аутентификации. В результате стандарты FIDO более устойчивы к атакам социальной инженерии, таким как фишинг, когда преступники пытаются обмануть людей эмоциональными или убедительными призывами, чтобы они нажимали на вредоносные ссылки, чтобы украсть их имена пользователей, пароли и конфиденциальную информацию. Аутентификация FIDO также борется с атаками Man-in-the-Middle (MITM), которые могут перехватывать обмен данными между устройством клиента и сервером финансового учреждения. В этом типе атаки преступник может изменить финансовую операцию в свою пользу. Спецификация FIDO касается конфиденциальности, поскольку закрытые ключи и шаблоны биометрических данных никогда не покидают устройство пользователя и никогда не хранятся на сервере. Ключи уникальны для каждой транзакции, что снижает вероятность атаки киберпреступников. Требуя PIN-код, отпечаток пальца или сканирование лица, аутентификатор FIDO проверяет, что входящий в систему человек является реальным живым человеком за компьютером, а не удаленным хакером или трояном.

Как аутентификация FIDO упрощает обслуживание клиентов

Клиенту больше не нужно запоминать сложные, множественные пароли для разных устройств или веб-сайтов. Их биометрические данные или PIN-код позволяют им разблокировать свой закрытый ключ на своем устройстве с помощью простого действия, такого как сканирование отпечатка пальца или лица, ввод одноразового пароля (OTP), использование распознавания голоса или ввод OTP, созданного оборудованием. токен. Открытый ключ хранится на сервере банка, чтобы проверить, что было подписано на закрытом ключе либо для аутентификации, либо для транзакции. Учетные данные никогда не отправляются и не хранятся компанией, с которой вы ведете операции. Это защищает конфиденциальность и помогает защитить учетные данные от преступного доступа. Стандарты также улучшают качество обслуживания клиентов в Интернете и могут помочь повысить лояльность клиентов за счет упрощения использования строгой аутентификации.

Комплаенс

Стандарты FIDO соответствуют требованиям для более строгой аутентификации пользователей. FIDO разработан в соответствии с требованиями пересмотренной Директивы о платежных услугах (PSD2) Европейского союза и нормативно-технических спецификаций (RTS), поскольку аутентификация клиента должна основываться на двух или более факторах, включая пароли или PIN-код, токены или мобильные устройства или биометрические данные.

Стандарты FIDO также разработаны с учетом:

• Общие правила защиты данных (GDPR): Каждая организация, которая управляет, хранит или обрабатывает данные граждан ЕС, подчиняется требованиям GDPR. Примером многофакторной аутентификации, требуемой GDPR, является использование ПИН-кода или биометрических данных для подтверждения того, что кто-то на самом деле является тем, кем они являются.
• Группа разработки финансовых мер борьбы с отмыванием денег (ФАТФ): В руководстве по цифровой идентификации от ФАТФ говорится, что «подход, основанный на оценке риска, рекомендованный настоящим Руководством, основан на наборе основанных на консенсусе систем гарантии с открытым исходным кодом и технических стандартов для систем цифровой идентификации».
• Правила кибербезопасности Департамента финансовых услуг Нью-Йорка (NYDFS): Крупнейшим регулирующим органом штата Нью-Йорк является NYDFS. NYDFS ввела Требования к кибербезопасности для компаний, предоставляющих финансовые услуги, которые требуют использования MFA «для защиты от несанкционированного доступа к закрытой информации или информационным системам», при этом закрытая информация является частной информацией человека.
• Национальный институт стандартов и технологий (NIST): Аутентификация FIDO предназначена для соблюдения требований, установленных NIST, для аутентификации пользователей в своих сетях, поскольку она соответствует руководящим принципам NIST для строгой аутентификации.