icon

Що таке FIDO2 і як воно працює? Переваги та недоліки аутентифікації без пароля

Що таке FIDO2 і як він працює?

 

Вхід на веб-сайт або використання послуг за допомогою традиційної комбінації імені користувача та пароля вже не є найкращим або найбезпечнішим способом. По мірі того, як кіберзлочинці стають більш технологічно вдосконаленими, методи захисту даних також повинні розвиватися. Тут нові стандарти аутентифікації, такі як FIDO2, можуть стати корисним інструментом у боротьбі з цими проблемами.

Але що таке безпарольна аутентифікація FIDO2 і які аутентифікаційні інструменти використовуються замість паролів? Як взагалі працюють ключі безпеки FIDO2? Ми відповімо на ці та багато інших важливих питань, що стосуються цього стандарту безпарольної аутентифікації в цьому детальному огляді. Продовжуйте читати, щоб дізнатися все про протокол FIDO2

Що таке FIDO2? Новий безпарольний стандарт

FIDO означає Fast Identity Online. З цифрою два в кінці, цей абревіатура базується на попередній роботі, виконаній Альянсом FIDO, особливо щодо розробки стандарту аутентифікації Універсальний другий фактор (U2F). 

Альянс FIDO був заснований в липні 2012 року компаніями PayPal, Lenovo, Nok Nok Labs, Validity Sensors, Infineon та Agnitio. Метою цього альянсу було зменшити залежність від традиційних паролів та покращити роботу аутентифікації особистості. 

FIDO є третім стандартом, що виник з Альянсу FIDO, після Універсального другого фактора (U2F) та Універсального аутентифікаційного фреймворка (UAF).

Основна мета FIDO2 - це усунення використання паролів в Інтернеті. Він був розроблений для впровадження відкритих та безліцензійних стандартів для безпечної безпарольної аутентифікації в Інтернеті. 

Процес аутентифікації FIDO2 усуває традиційні загрози, що виникають при використанні імені користувача та пароля для входу, замінюючи їх стандартом входу FIDO2. Таким чином, він захищає від типових онлайн-атак, таких як фішинг та атаки людини посеред цього.

У травні 2022 року Apple, Google та Microsoft оголосили про підтримку нового набору стандартів для безпарольної аутентифікації. Популярно відомі як "passkeys", ця нова технологія "багатопристроєвих FIDO-підтверджень" привернула значну увагу тим, що уповноваження могли зберігатися при втраті пристрою.

Passkey, по суті, є тим самим, що і ключ FIDO - в тому сенсі, що ключ генерується, як тільки користувач підтверджує свою особу. Ці ключі складаються з пари публічного та приватного ключа з кінця в кінець шифрування, яке забезпечує безпеку облікових даних при синхронізації на різних пристроях. 

Як працює FIDO2?

Протокол FIDO2 використовує криптографію з відкритим ключем для забезпечення безпечної та зручної системи аутентифікації. Стандарт FIDO2 використовує приватний та публічний пароль для підтвердження ідентичності кожного користувача. Для використання аутентифікації FIDO2 вам потрібно зареєструватися на послугах, що підтримують FIDO2. 

Отже, як це виглядає на практиці? Ось швидкий приклад FIDO2, що пояснює, як працює протокол FIDO2:

  1. Коли користувач намагається увійти за допомогою FIDO2 в додаток, сервер FIDO2 використовує WebAuthn для відправлення виклику клієнту FIDO, щоб підписати дані приватним ключем FIDO2.
  2. Потім користувач використовує вже налаштований метод аутентифікації для відповіді на запит. Під час цього процесу перевіряється домен сервера FIDO2, щоб переконатися, що це той самий, який використовувався під час реєстрації. Цей додатковий етап реалізації FIDO2 забезпечує міцний захист від фішингу.
  3. Клієнт FIDO отримує приватний ключ FIDO від аутентифікатора. Це може бути через FIDO-пароль, фізичний ключ безпеки або мобільний додаток.
  4. Клієнт FIDO підписує виклик для підтвердження його валідності, і користувач отримує доступ до платформи або послуги.

Найбільші платформи у світі, такі як Apple, Google і Microsoft, підтримують FIDO, але вони не єдині драйвери за FIDO Alliance і співпрацюють разом з сотнями компаній по всьому світу, щоб реалізувати простішу та надійнішу аутентифікацію. 

Щоб налаштувати безпарольний вхід, вам потрібно пройти кілька кроків налаштування:

  • Вам потрібно заповнити відповідну форму реєстрації та вибрати аутентифікатор FIDO2 (або пристрій FIDO2 або довірений модуль платформи).
  • Сервіс згенерує пару ключів аутентифікації FIDO2.
  • Ваш аутентифікатор FIDO2 відправляє публічний ключ на сервіс, в той час як приватний ключ, що містить чутливу інформацію, залишається на вашому пристрої.

FIDO authentication flow

Потік аутентифікації FIDO

Як тільки активовано безпечний шлях комунікації, налаштовані облікові дані зберігаються назавжди, що дозволяє пізніше входити в систему. Важливо пам’ятати про цей безпечний веб-логін, що ви не обмінюєтеся жодними секретами з серверами. Ключ безпеки FIDO2, який є критичним елементом інформації, завжди залишається на вашому пристрої.

Звичайно, важливо пам’ятати, що ці FIDO-паролі — це лише один крок у процесі, а не остаточне рішення. Організації повинні враховувати, що стандарт FIDO ще розвивається, і важливо слідкувати за майбутніми змінами та адаптаціями.

Використання FIDO2 для аутентифікації: практичні приклади

Отже, як FIDO2 впливає на загальний досвід користувача через реальні приклади? Ще важливіше для звичайного користувача, у якій формі ви можете впровадити його в своєму повсякденному житті? Подивимося, як ви можете впровадити безпарольний вхід FIDO2 в різних формах:

1. Платформенні автентифікатори

Ці типи аутентифікаторів зазвичай не видаляються з пристрою клієнта, оскільки вони вже вбудовані в пристрій. Іншими словами, у процесі аутентифікації не задіяно зовнішній пристрій. Це дуже зручно для повторної аутентифікації.

FIDO Platform Authentication

Приклад платформної аутентифікації

2. Кросплатформенні аутентифікатори 

Також відомі як роумінгові аутентифікатори, це зовнішні серверні пристрої, які можуть використовуватися на різних пристроях. З аутентифікацією кросплатформи можна використовувати зовнішній пристрій Bluetooth/NFC або фізичний ключ безпеки, наприклад, Hideez Key. Основна перевага кросплатформених аутентифікаторів — спрощення процесу аутентифікації на нових пристроях.

FIDO2 cross-platform authentication

Приклад кросплатформеної аутентифікації


FIDO2 проти U2F - Яка різниця?

Тепер, коли ми зрозуміли, як працює аутентифікація FIDO2, також корисно зробити порівняння FIDO2 проти FIDO U2F, щоб визначити різницю. Найбільш значною різницею між ними є те, що перший був створений для того, щоб дозволити усій аутентифікації стати безпарольною. Натомість FIDO U2F призначений служити як другий фактор для паролів.

FIDO2 and U2F Websites and Services

Щоб розширити це, з випуском FIDO2, U2F ефективно був злитий в FIDO2. Він був перейменований як CTAP1, служачи як сильний другий фактор для входу користувача. CTAP1 дозволяє використовувати існуючі пристрої U2F для роботи як клієнти аутентифікації на системах, що підтримують FIDO2.

Крім того, з випуском FIDO2 CTAP2 став новим стандартом разом з WebAuthn. Сучасний аутентифікатор, що використовує CTAP2, також відомий як аутентифікація FIDO2. В тому ж дусі, якщо FIDO2-аутентифікатор також включає CTAP1, він також буде сумісний зі стандартною аутентифікацією U2F.

Переваги та недоліки FIDO2

Переваги FIDO2

Найбільшою перевагою аутентифікації FIDO2 є те, що вона створює набагато менше вікно атак для кіберзлочинців. Щоб отримати доступ до вашої чутливої особистої інформації, зловмисникам потрібен аутентифікатор FIDO2, який фізично завжди з вами у вигляді пристрою або вашої біометрії.

Якщо ви використовуєте кілька сайтів, що підтримують FIDO2, ви зможете скористатися ще однією перевагою у вигляді спрощеного досвіду, оскільки вам не потрібно запам'ятовувати кілька вхідних даних та паролів для кожного зі своїх облікових записів. Ключ безпеки FIDO2 U2F буде працювати в усіх підтримуваних платформах, пропонуючи максимальну безпеку та зручність для користувача.

Недоліки FIDO2

Звичайно, як будь-який інший метод безпеки у світі, стандарт FIDO2 має певні недоліки. Ці недоліки не є рішенням, але варто знати, якщо ви плануєте впровадити безпарольний вхід FIDO2 як практику безпеки.

На відміну від традиційних стандартів входу за паролем, цей стандарт вимагає додаткового кроку забезпечення безпеки, якщо ви використовуєте його як регулярний компонент двофакторної аутентифікації. З цим на увазі, така система не є найпрактичнішою, якщо ви кілька разів на день входите в FIDO2-ключі безпеки.

Крім того, оскільки цей метод аутентифікації ще не розповсюджується, наразі існує небагато ключів безпеки, які підтримують FIDO2, хоча кількість платформ і браузерів, які підтримують FIDO2 або FIDO U2F, постійно зростає. Наприклад, ви можете активувати безпарольний вхід в Facebook, Twitter, Google, Dropbox, GitHub та більш ніж 300 інших сервісах, що підтримують FIDO2 або FIDO U2F.

FIDO2 Supported browsers

Підтримка платформ і браузерів FIDO від FIDO Alliance

Початок роботи з аутентифікацією FIDO2

Кібератаки показали, що людський фактор ризику є значущою складовою порушень кібербезпеки. З впровадженням FIDO2 і безпарольної аутентифікації ризик людського фактора відсутній, що забезпечує набагато безпечніший досвід користувача. Впровадження FIDO2 ідеально вписується в рамки безпеки з нульовим довір’ям. Окрім того, воно, будучи міцним і відповідаючим строгим політикам безпеки, забезпечує зручний досвід для користувача

Великі технологічні компанії, такі як Microsoft, Google і Apple, вже підтримують опції ключів безпеки FIDO. Хоча цей вид безпечного входу ще не досягнув своєї повної зрілості, одне стало відомо - безпарольна аутентифікація є майбутністю.

Для найвищого рівня безпеки й зручності Hideez пропонує систему безпарольної аутентифікації для організацій. Вона дозволяє кожній організації розгортати персональний сервер FIDO2, який забезпечує безпарольний досвід для всіх співробітників безкоштовно. Це можна налаштувати для роботи з будь-якими веб-сервісами, навіть тими, які за замовчуванням не підтримують протоколи FIDO. 

Кожен користувач зможе вибрати улюблений метод аутентифікації: або паспортні ключі (особисті пристрої), мобільний додаток, що перетворює смартфон у ключ FIDO, або фізичний ключ безпеки. Крім того, фізичні ключі надають додаткові можливості, такі як вхід і вихід з ПК на основі проксиміті, доступ до систем на основі паролів, генерація одноразових паролів та фізичний доступ до будівель на основі технології RFID. Складний дизайн Hideez Key забезпечує одночасно зручність і захист завдяки унікальному набору функцій:

  • Цифровий доступ на основі пароля - Ця функція ключа Hideez забезпечує великий комфорт користувача в будь-яких умовах. Ви можете використовувати ключ для блокування або розблокування свого ПК з Windows 10 за допомогою близькості і створювати нові складні паролі та одноразові паролі для двофакторної аутентифікації. Крім того, ви можете зберігати до 1 000 вхідних даних та паролів з ваших існуючих облікових записів і забезпечити їх безпечне автозаповнення. Це також включає захищені паролем локальні папки, PDF, Word, ZIP-файли та будь-які інші документи, які ви хочете захистити.
  • Безпарольний доступ - Пристрій також підтримує стандарти аутентифікації FIDO U2F та FIDO2, спрямовані на зменшення перевантаження світу через паролі. Це означає, що Hideez Key може легко і безпечно використовуватися для безпарольної аутентифікації та двофакторної аутентифікації на підтримуваних стандартами FIDO браузерах і платформах (сервіси Google та Microsoft, Facebook, Twitter, Dropbox, Azure AD і т. д.), кількість яких стійко зростає. Hideez Key підтримує бездротову аутентифікацію FIDO на пристроях з Windows 10 і Android 8+ за допомогою технології Bluetooth Low Energy (BLE). 
  • Вхід за допомогою проксиміті - Вбудоване блокування за допомогою проксиміті захистить ваш комп'ютер щоразу, коли ви відійдете. Використовуючи ключ Hideez, ви можете автоматично блокувати і розблоковувати робочу станцію Windows на основі сили Bluetooth між ключем і вашим ПК. Ви можете налаштовувати, як ви хочете його блокувати, налаштовуючи бажані пороги проксиміті та вибираючи метод розблокування.
  • Фізичний доступ - Окрім цифрового доступу, ключ Hideez також забезпечує зручний фізичний доступ. Вбудований RFID-тег може бути попередньо налаштований для відкриття будь-якого дверного замка RFID в офісних будівлях, центрах обробки даних, фабриках і т. д., замінюючи при цьому смарт-карту.
  • Посилення захисту - Ключ Hideez забезпечує підвищений захист від фішингу, фармінгу та інших атак, пов'язаних з паролями. Крім того, на відміну від більшості інших менеджерів паролів, ключ Hideez не передає жодних облікових даних у хмару або третім сторонам.

З Hideez Service кожна організація може перейти до безпарольного режиму за $6 на користувача на місяць. Розпочніть безкоштовну пробну версію на 30 днів, щоб зрозуміти, як це працює, і побачити переваги безпарольної аутентифікації в робочих середовищах.