Все об аутентификации FIDO
Аутентификация FIDO (Fast Identity Online) относится к набору спецификаций и стандартов, созданных Альянсом FIDO. Он определяет альтернативные механизмы аутентификации, которые нивелируют необходимость паролей и повышают безопасность в интернете.
FIDO разрешает каждому удобно получать доступ к онлайн-аккаунтам, различным сайтам, аппликациям, устройствам и прочим ресурсам, используя биометрические данные, ПИН-коды или аппаратные токены вместо паролей, вводимых вручную.
Благодаря массовому внедрению на платформах и браузерах FIDO стремится в конечном итоге заменить контроль доступа на основе паролей благодаря повышению удобства использования, более сильной защите от кибератак.
Все по порядку: история, основные цели и концепция стандартов FIDO
Начнем с ответа на вопрос, что такое Альянс ФИДО? Это отраслевой консорциум, созданный в 2013 году, целью которого является снижение зависимости от паролей для аутентификации путем внедрения основанного на стандартах входа в систему без пароля. Сегодня FIDO Alliance объединяет более 250 компаний, включая таких лидеров, как Microsoft, Apple, Google, Visa и Mastercard. Этот альянс разрабатывает открытые технические спецификации, использующие биометрию, PIN-коды и аппаратные токены, которые определяют совместимые механизмы для более строгой аутентификации.
Кроме того, программы сертификации FIDO проверяют соответствие спецификациям сертифицированных продуктов, что упрощает интеграцию. Содействуя глобальному соответствию, FIDO стремится облегчить взаимодействие пользователей с беспрепятственной аутентификацией без пароля для учетных записей, устройств и приложений по всему миру.
Основные цели и концепция стандартов FIDO для аутентификации включают:
- Устранение зависимости от уязвимых паролей. Выход за рамки использования общих и воспроизводимых паролей имеет решающее значение для борьбы с растущими преступлениями с использованием личных данных и вторжениями в систему, вызванными украденными учетными данными.
- Обеспечение более надежной многофакторной аутентификации с помощью биометрических данных и токенов. FIDO стремится обеспечить удобную для пользователя многофакторную аутентификацию с использованием биометрических данных, ключей безопасности и других долговременных учетных данных для проверки личности и транзакций. Это предотвращает несанкционированный доступ к учетной записи, даже если учетные данные скомпрометированы.
- Защиту конфиденциальных пользовательских данных путем хранения их локально, а не централизованно. В отличие от паролей, хранящихся на удаленных серверах, FIDO требует, чтобы конфиденциальные данные шаблонов, используемые для проверки, оставались локализованными на устройствах пользователей, что сводит к минимуму риски крупномасштабной кражи и раскрытия данных.
- Обеспечение бесперебойной работы пользователей без утомления паролей. Снижение зависимости от трудно запоминающихся и сложных в управлении паролей также способствует улучшению качества обслуживания конечных пользователей благодаря быстрому и простому доступу к различным устройствам и сервисам.
- Соответствие растущим нормативным требованиям к аутентификации. Соблюдение требований FIDO по всему миру помогает предприятиям финансового и медицинского секторов перейти на устойчивую к фишингу многофакторную аутентификацию.
- Сокращение затрат от мошенничества, утечки данных и сброса паролей. Для предприятий внедрение FIDO обещает снижение затрат из-за мошенничества и последствий взломов, а также нагрузки на справочную службу по управлению паролями.
Протоколы аутентификации FIDO
Альянс FIDO стандартизировал различные спецификации протоколов для обеспечения аутентификации без пароля с использованием различных типов аутентификаторов:
- ФИДО UAF. Универсальная платформа аутентификации (UAF) позволяет онлайн-сервисам предлагать вход в систему без пароля с использованием пользовательских девайсов: смартфоны или ноутбуки. Это позволяет выбирать локальные методы аутентификации, такие как биометрическая идентификация или ПИН-коды, во время первоначальной регистрации учетной записи. Впоследствии пользователи смогут войти в систему без паролей, разблокировав зарегистрированные аутентификаторы.
- ФИДО U2F. Спецификация Universal Second Factor (U2F) упрощает многофакторную аутентификацию с использованием роуминговых аппаратных токенов в качестве второй формы проверки наряду с именами пользователей и паролями. Ключ безопасности пользователя подписывает запросы аутентификации криптографически проверяемым способом при нажатии для включения входа в систему.
- ФИДО2. FIDO2 обеспечивает унифицированную поддержку потоков без пароля и второго фактора для большего количества типов аутентификаторов. Он сочетает в себе веб-стандарт WebAuthn и протокол клиент-аутентификатор (CTAP), чтобы обеспечить лучшую совместимость между веб-сайтами, платформами и аутентификаторами с использованием современных методов криптографии.
В целом, эти спецификации протокола позволяют приложениям предлагать конечным пользователям защищенную от фишинга аутентификацию, отвечающую их потребностям в безопасности.
Как работает аутентификация FIDO
Чтобы использовать аутентификацию FIDO, пользователи сначала регистрируют аутентификаторы в онлайн-сервисах. Для этого выбирают доступный аутентификатор FIDO, соответствующий политикам службы, например, датчик отпечатков пальцев. Устройство создает пару открытого и закрытого ключей, уникальную для учетной записи пользователя и онлайн-сервиса. Сервис хранит открытый ключ. Закрытый ключ надежно хранится на устройстве пользователя. Это позволяет аутентификатору криптографически подписывать запросы.
При последующей аутентификации пользователь разблокирует свой аутентификатор FIDO, например, биометрию отпечатков пальцев, на своем смартфоне или аппаратном токене. Онлайн-сервис выдает криптографический запрос или одноразовый номер, который клиент FIDO подписывает с помощью зарегистрированного закрытого ключа. Служба проверяет подпись с помощью сохраненного открытого ключа для аутентификации пользователя. Этот протокол основан на стандартной криптографии с открытым ключом для обеспечения безопасности процесса аутентификации без передачи личных учетных данных пользователя.
Примеры реализации:
- Google разрешает вход FIDO в свои службы, такие как Gmail и Google Cloud, предоставляя своим сотрудникам доступ без пароля с помощью устройств Android и ключей безопасности Titan.
- Facebook поддерживает аутентификацию FIDO на основе биометрии, используя встроенное распознавание лиц или датчики отпечатков пальцев, доступные на мобильных платформах Apple iOS и Android.
- Microsoft включила аутентификацию FIDO2 для учетных записей Azure Active Directory, Outlook и Xbox, упрощая вход в корпоративную систему без пароля с помощью распознавания лиц Windows Hello или ключей безопасности FIDO.
Личный ВПН-сервер: однозначное усиление защиты
Аутентификация FIDO представляет собой значительную эволюцию онлайн-безопасности, обеспечивая удобство использования пароля и одновременно усиливая защиту от угроз идентификации. При совместном использовании этой технологии с личным ВПН-сервером, уровень безопасности и конфиденциальности пользователей значительно повышается.
Узнать детальнее, а также купить личный ВПН-сервер на выгодных условиях можно на VPN.how. На этом сайте вы найдете оферту и всю необходимую информацию о вариантах аренды, способах оплаты, местоположении серверов и других деталях. Делайте правильный выбор и оставайтесь максимально защищенными в интернете.