Що таке автентифікація FIDO2 і як вона працює? Переваги та недоліки безпарольної автентифікації

→ Чекліст з безпарольної автентифікації на підприємстві

Вхід на веб-сервіси за допомогою традиційної комбінації логіна та пароля вже давно не вважається найбезпечнішим чи найефективнішим підходом. У міру вдосконалення технологій кіберзлочинців методи захисту даних також не стоять на місці. 

Саме тому виникають нові стандарти автентифікації, такі як FIDO2, що можуть стати корисним інструментом для вирішення подібних проблем безпеки. Але що таке автентифікація FIDO2, і які інструменти можна використовувати замість паролів? Як працюють ключі безпеки FIDO2?

У Hideez ми надаємо організаціям можливість переходити від традиційних систем паролів до безпечної, зручної автентифікації. Як сертифікований член FIDO Alliance, ми надаємо безкоштовну платформу SaaS, яка спрощує перехід до доступу без пароля, дозволяючи організаціям отримувати вигоду без ризику чи початкових інвестицій.

Що таке FIDO2? Новий стандарт входу без паролів

FIDO розшифровується як Fast Identity Online. Ця абревіатура базується на попередніх розробках FIDO Alliance — глобальної асоціації, що була заснована в липні 2012 року компаніями PayPal, Lenovo, Nok Nok Labs, Validity Sensors, Infineon та Agnitio. Мета альянсу — зменшити залежність від традиційних паролів і покращити процеси автентифікації.

FIDO2 є третім стандартом, створеним FIDO Alliance, після Universal Second Factor (U2F) та Universal Authentication Framework (UAF).

Основною метою FIDO2 є усунення необхідності в паролях і традиційних методах багатофакторної автентифікації (OTP, push-сповіщення, коди підтвердження SMS тощо) та заміна їх методами ,безпарольного входу: відбиток пальця, розпізнавання обличчя, PIN-коди або апаратні ключі безпеки. Автентифікація FIDO2 є набагато зручнішою для користувачів і захищає від поширених онлайн-атак, таких як фішинг, спуфінг, кейлогінг, атаки грубої сили, MITM та інші загрози, пов’язані з ідентифікацією.

Що таке ключ FIDO2?

Ключ FIDO2 — це пристрій або програмне забезпечення, яке підтримує стандарт FIDO2 для входу без пароля. Ці інструменти створені для відповідності стандарту FIDO2, генеруючи та зберігаючи криптографічні ключі, що дозволяють отримувати доступ до облікових записів без паролів. Вони представлені у різних формах, які зазвичай поділяються на три категорії:

• Біометрична автентифікація (часто називається "ключами доступу" або "Passkeys"): Ця автентифікація дозволяє користувачам входити в систему шляхом сканування відбитка пальця або обличчя. Це швидкий, безпечний і зручний варіант, який широко підтримується на мобільних телефонах і багатьох сучасних ноутбуках.
• Блокування екрана: У разі відсутності біометричних датчиків користувачі можуть автентифікуватися за допомогою PIN-коду або блокування екрана, прив’язаного до пристрою, щоб отримати доступ до свого облікового запису. Цей варіант особливо підходить для настільних ПК або старих пристроїв, які не мають вбудованої біометрії, зберігаючи безпеку та доступність автентифікації.
• Фізичні ключі безпеки: Також відомі як апаратні токени або FIDO2-автентифікатори, фізичні ключі безпеки — це зовнішні пристрої, які забезпечують входи без паролів шляхом підключення до кінцевих пристроїв через USB, NFC або Bluetooth. Популярні приклади включають YubiKeys, Hideez Keys, тощо. Власники ключів безпеки автентифікуються шляхом вставлення або натискання ключа, часто у поєднанні з PIN-кодом для додаткового захисту. Деякі ключі навіть мають біометричні датчики, поєднуючи безпеку апаратної автентифікації із зручністю біометрії.

Що таке Passkeys, і як вони співвідносяться з ключами FIDO?

У травні 2022 року компанії Apple, Google і Microsoft зробили революційну заяву: вони підтримуватимуть автентифікацію FIDO2 на своїх платформах під новою назвою "Passkeys". Об'єднавши всі форми автентифікації FIDO2, вони прагнуть зробити входи без паролів більш доступними як для окремих споживачів, так і для підприємств.

То чи є Passkeys просто ключами FIDO2 під новою назвою? Не зовсім. Passkeys мають ту ж основну структуру, що й автентифікатори FIDO2, але є одна ключова відмінність. У той час як традиційні специфікації FIDO2 вимагають, щоб приватний ключ ніколи не залишав ваш пристрій, Passkeys можуть працювати двома різними способами:

• Синхронізовані ключі доступу (Synced Passkeys) використовують хмарне сховище (наприклад, iCloud, Google Password Manager або Microsoft Authenticator) для синхронізації облікових даних між усіма пристроями користувача. Це означає, що ви не втратите доступ до своїх облікових записів, якщо втратиться доступ до одного з пристроїв. Синхронізовані ключі підтримують високий рівень безпеки, забезпечуючи легкий доступ між пристроями, незалежно від того, чи ви працюєте на ноутбуці, планшеті чи телефоні.
• Ключі доступу, прив’язані до пристрою (Device-bound Passkeys), залишаються прив’язаними до конкретного фізичного пристрою, такого як фізичний ключ безпеки або мобільний телефон. Ці ключі дотримуються найсуворіших принципів безпеки, забезпечуючи, що ваші облікові дані не працюють на іншому обладнанні. Це робить їх ідеальними для організацій із суворою політикою безпеки, оскільки вони обмежують доступ лише одним авторизованим пристроєм, додаючи додатковий рівень контролю.

Перехід до кросплатформенної моделі та синхронізації Passkeys зробив автентифікацію FIDO2 практичною як для особистого, так і для бізнес-використання. Проте інструменти для входу без паролів використовуються дуже по-різному окремими особами та підприємствами, головним чином через різницю в масштабах, управлінні користувачами та регуляторних вимогах.

Підтримка платформ/браузерів FIDO

Як працює протокол FIDO2?

Протокол FIDO2 базується на криптографії з відкритим ключем для забезпечення безпечної автентифікації без пароля. Завдяки обміну приватними та публічними ключами він перевіряє особу кожного користувача, не розкриваючи його конфіденційну інформацію.

Ось простий приклад, як працює автентифікація FIDO2:

1. Коли користувач ініціює вхід до веб-сервісу, сервер FIDO2 надсилає запит. Він вимагає, щоб користувач відповів на нього, підписавши приватний ключ FIDO2.
2. Користувач застосовує свій ключ FIDO2, який він налаштував раніше. Це може означати дотик до сканера відбитків пальців, використання фізичного ключа безпеки або введення PIN-коду. Автентифікатор надсилає відповідь назад до сервера з підписаними даними приватного ключа.
3. Нарешті, сервер перевіряє цей підпис за допомогою публічного ключа, зареєстрованого під час налаштування. Якщо все збігається, користувач отримує доступ до свого облікового запису.

Після встановлення захищеного шляху зв'язку облікові дані зберігаються постійно, що дозволяє швидко та безпечно входити в майбутньому. Найголовніше — ви ніколи не передаєте конфіденційну інформацію серверу під час цього процесу.

Ваші біометричні дані залишаються на вашому персональному пристрої і ніколи не передаються на віддалений сервер. Сервер отримує лише підтвердження, що перевірка вашої особи пройшла успішно, зберігаючи приватні дані саме там, де їм належить бути — на вашому пристрої.

Випадки використання автентифікації FIDO2

Як впливає FIDO2 на загальний досвід користувача через реальні приклади? І, що важливіше для середньостатистичного користувача — в якій формі це можна реалізувати у повсякденному житті? Давайте детальніше розглянемо, як ви можете впровадити безпарольний вхід FIDO2 у різних формах:

1. Вбудовані (платформені) автентифікатори

Платформені автентифікатори інтегровані у ваш пристрій і не можуть бути відокремлені від нього, що робить їх простими та зручними у використанні. Фактично, весь процес автентифікації ви можете завершити на тому самому пристрої, який використовували для початку входу.

Прикладом може бути сканування відбитка пальця за допомогою вбудованого сканера на вашому ноутбуці. Не потрібно мати жодних зовнішніх пристроїв — вхід виконується одним-єдиним дотиком.

Приклад платформеної автентифікації

2. Кросплатформені автентифікатори

Також відомі як "зовнішні ключі безпеки", кросплатформені автентифікатори — це зовнішні пристрої, призначені для роботи з багатьма пристроями. Наприклад, для входу в настільний додаток на своєму комп’ютері ви можете використовувати свій смартфон або фізичний ключ безпеки, такий як Hideez Key.

Фізичні ключі безпеки завжди класифікуються як міжплатформені, тоді як смартфони можуть бути як внутрішніми (платформенними), так і зовнішніми автентифікаторами залежно від їх використання.

Приклад кросплатформеної автентифікації

Переваги та недоліки автентифікації FIDO2

Переваги FIDO2

Автентифікація FIDO2 пропонує безліч переваг для сучасної безпеки. Ось деякі з основних причин, чому вона набуває популярності серед окремих користувачів і бізнесів:

• Високий рівень безпеки. Найзначнішою перевагою автентифікації FIDO2 є створення жорстких лімітів для кіберзлочинців. Щоб отримати доступ до ваших конфіденційних даних, зловмисникам знадобиться ваш ключ FIDO2, який фізично завжди буде поруч із вами у формі вашого пристрою чи біометричних даних.
• Сумісність із принципами нульової довіри. Модель нульової довіри (Zero Trust) базується на принципі "ніколи не довіряй, завжди перевіряй", що є вирішальним у сучасному середовищі роботи. FIDO2 ідеально відповідає цій моделі, пропонуючи стійку до фішингу багатофакторну автентифікацію.
• Покращений користувацький досвід. Більш оптимізований досвід, адже вам більше не потрібно пам’ятати десятки паролів для всіх облікових записів.

Недоліки FIDO2

Як і будь-який інший метод безпеки, стандарт FIDO2 має певні недоліки. Ці недоліки не є вирішальними, але варто знати і про них:

• Обмежене споживче впровадження: Незважаючи на те, що впровадження FIDO2 зростає, не всі веб-сервіси підтримують його за замовчанням.
• Вимоги підприємств: Passkeys є значним поліпшенням у порівнянні з паролями, але для організацій, яким потрібен суворий контроль над автентифікацією користувачів, синхронізовані ключі можуть бути не найкращим рішенням. В робочих середовищах краще використовувати ключі доступу,  прив’язані до пристрою - тобто фізичні FIDO2-токени або спеціальні мобільні додатки.

Як активувати автентифікацію FIDO2?

Ось покрокова інструкція, як увімкнути автентифікацію FIDO2 для особистого використання та підприємств:

Для особистого використання

Щоб налаштувати входи без паролів як індивідуальний користувач, потрібно пройти кілька етапів:

1. Перевірте сумісність

• Переконайтеся, що веб-сервіси, які ви використовуєте, підтримують входи FIDO2 або Passkey.
• Популярні платформи, такі як Google, Microsoft і Apple, уже підтримують Passkeys для безпечних входів.

2. Доступ до налаштувань безпеки

• Перейдіть в потрібний обліковий запис до розділу "Безпека" або "Налаштування облікового запису".
• Шукайте опцію, що називається "Ключ безпеки", "Passkey" або "Вхід без пароля" (термінологія може змінюватися залежно від сервісу).

3. Зареєструйте ваш ключ FIDO2

• Дотримуйтесь вказівок для реєстрації пристрою з підтримкою біометрії або фізичного ключа безпеки.
• Під час налаштування сервіс запропонує створити пару відкритих і закритих ключів, унікальних для вашого облікового запису.

4. Насолоджуйтесь безпарольними входами! Надалі ви зможете використовувати обраний метод FIDO2 замість пароля.

Приклад налаштування Passkeys у Google Workspace

Для використання в організаціях

Впровадження автентифікації FIDO2 в організації потребує стратегічного планування. Ось перші кроки, з яких ми рекомендуємо почати:

1. Оцінка потреб у безпеці

• Визначте групи користувачів залежно від рівня їхнього доступу. Наприклад, загальні користувачі можуть використовувати синхронізовані Passkeys на персональних або корпоративних пристроях, тоді як привілейовані користувачі можуть мати фізичні ключі безпеки для кращого захисту.
• Оцініть вимоги вашої організації щодо політики безпеки та моделі загроз, щоб вирішити, які методи FIDO2 краще підходять.

2. Оберіть постачальника рішень

• Оберіть постачальника, який інтегрується з вашими системами управління ідентифікацією (IAM), такими як Microsoft Active Directory, Okta, тощо.
• Переконайтеся, що обране рішення підтримує широкий спектр методів FIDO2, включаючи біометрію, мобільну автентифікацію та апаратні ключі безпеки.

3. Запуск пілотного проєкту

Співпрацюйте з постачальником рішень для запуску пілотного проєкту безпарольної автентифікації для окремих веб-сервісів. Почніть із невеликої групи користувачів, щоб оцінити зручність використання і задоволеність працівників.

Безкоштовний перехід на безпарольний доступ із Hideez

Якщо ви не знаєте, з чого почати, Hideez допоможе вам здійснити м'який та поступовий перехід до безпаролньної автентифікації. З платформою Basic Identity Cloud ви можете активувати безпарольний єдиний вхід (SSO) в будь-які веб-сервіси безкоштовно для до 20 користувачів.

Для організацій із більш складними потребами Hideez пропонує сервіс Enterprise Identity з підтримкою широкого спектру ключів FIDO2, забезпечуючи гнучкість і адаптивність для різних сценаріїв, включачи  безпарольний вхід та вихід з робочих станцій, веб-сервісів та застарілих систем.

Забронюйте демо-дзвінок з можливістю індивідуального консультування, щоб визначити ідеальну формулу безпарольної автентифікації, що підходитиме саме вам.

FAQ

1. Що таке FIDO U2F і як це працює?

FIDO U2F (Universal 2nd Factor) — це стандарт безпеки, розроблений для підвищення рівня онлайн-аутентифікації шляхом додавання надійного другого фактора до традиційних паролів. Він використовує апаратний ключ безпеки, наприклад, USB- або NFC-пристрій, який генерує унікальний криптографічний ключ для кожного сервісу. Користувачі автентифікуються, натискаючи свій ключ або вставляючи його у пристрій, забезпечуючи захищену від фішингу двофакторну автентифікацію (2FA). U2F не замінює паролі, а доповнює їх, роблячи входи більш безпечними.

2. FIDO2 проти U2F – у чому різниця?

Ключова різниця між FIDO2 і FIDO U2F полягає в їхньому призначенні. FIDO2 створено для забезпечення входу без паролів, повністю усуваючи необхідність у паролях. Натомість FIDO U2F було розроблено виключно як другий фактор для посилення входів із використанням паролів, виступаючи як FIDO 2FA.

З появою FIDO2, U2F було інтегровано в FIDO2 у вигляді протоколу CTAP1 (Client to Authenticator Protocol 1). Це гарантує, що наявні пристрої U2F можуть продовжувати виконувати роль другого фактора у системах із підтримкою FIDO2, забезпечуючи зворотну сумісність.

3. FIDO2 проти WebAuthn

FIDO2 і WebAuthn тісно пов’язані, але мають різні завдання. FIDO2 — це ширший стандарт, який охоплює як WebAuthn (розроблений W3C), так і CTAP2 (розроблений FIDO Alliance). WebAuthn — це веб-API, що дозволяє браузерам і серверам взаємодіяти з автентифікаторами FIDO2, забезпечуючи входи без паролів.

4. FIDO2 проти FIDO

FIDO (Fast Identity Online) є загальною платформою, яка охоплює всі стандарти, включаючи FIDO U2F, FIDO2 та пов'язані з ними протоколи. FIDO2 — це еволюція оригінальної платформи FIDO, яка розширює її можливості, забезпечуючи входи без паролів за допомогою WebAuthn і CTAP2.

5. Які вебсайти підтримують FIDO2?

Все більше вебсайтів і сервісів підтримують FIDO2, включаючи великі технологічні платформи, такі як Google, Microsoft, Apple і Dropbox. Ці сервіси дозволяють користувачам реєструвати автентифікатори FIDO2, наприклад, апаратні ключі чи біометричні пристрої, для захисту своїх облікових записів. Багато організацій також інтегрують FIDO2 для внутрішнього використання, забезпечуючи входи без паролів для співробітників.

Олег Науменко

CEO та засновник, Hideez

Олег Науменко є генеральним директором і засновником Hideez. Він спеціалізується на автентифікації без пароля, ключах FIDO2 і рішеннях для керування доступом. Маючи великий досвід у сфері інформаційної безпеки, Олег допомагає організаціям переходити на безпарольну, стійку до фішингу автентифікацію персоналу.