Скоріше за все, ви тут, бо вам набридли паролі.
Ймовірно, ви вже чули про автентифікацію FIDO і те, як вона змінює правила гри в онлайн-безпеці. І тепер хочете зрозуміти, чи підходить FIDO2 для захисту вас або вашого бізнесу.
В Hideez ми вже багато років допомагаємо організаціям переходити на безпарольні технології, тож знаємо, як усе працює зсередини.
У цьому гайді ми зібрали найціннішу інформацію, щоб пояснити, як працює FIDO2, і чому це може (або не може) стати правильним кроком для підвищення вашої персональної чи корпоративної безпеки.
Передусім, кілька ключових моментів:
Якщо йдеться про безпарольний вхід до особистих облікових записів, багато популярних сайтів вже підтримують FIDO2. У більшості випадків вам знадобиться лише смартфон.
З FIDO «секрет», що підтверджує вашу особу, зберігається всередині пристрою і фізично не може залишити його. Тобто немає секрету, який можна перехопити, немає пароля, який можна вгадати, і немає нічого, що можна зламати.
Не всі додатки чи сервіси вже сумісні з FIDO, особливо в B2B-середовищі з його складними програмними структурами. Але цілком можливо, щоб старі системи з паролями працювали поруч із новими безпарольними методами.
Що таке FIDO2? Новий стандарт безпарольної автентифікації
FIDO розшифровується як Fast Identity Online — ініціатива консорціуму технологічних компаній (серед перших були PayPal і Lenovo), які об’єдналися з амбітною метою: позбутися паролів. Вони розуміли, що має існувати безпечніший і простіший спосіб підтвердження особи онлайн.
FIDO2 — це найновіший і найпотужніший стандарт від FIDO Alliance, який дозволяє реалізувати сучасні passkeys і поєднує в собі найкраще з попередніх технологій:
U2F: зосереджений на використанні фізичних ключів безпеки як другого фактору.
UAF: акцентував увагу на біометрії (відбиток пальця, розпізнавання обличчя) на вашому смартфоні.
Поєднання U2F, UAF та FIDO2 може спершу заплутати, тому ось проста таблиця для розуміння різниці:
FIDO2 прагне позбутися всього, що ми не любимо: складних паролів та багатофакторних методів, які дратують. Ніхто не хоче вводити SMS-коди чи підтверджувати доступ сповіщенням.
Замість чогось, що ви знаєте (пароль або одноразовий код), FIDO використовує щось, що ви маєте (пристрій або ключ безпеки) і щось, ким ви є (ваш відбиток пальця або обличчя). Ці фактори часто називають Passkeys.
Хоча концепція звучить футуристично, ви, ймовірно, вже користувалися passkey для входу в облікові записи Google чи Microsoft — навіть не підозрюючи, що це базується на FIDO. Сьогодні FIDO підтримується всіма основними ОС: Windows, Android, iOS та macOS.
Як працює протокол FIDO2?
Отже, як саме FIDO позбувається паролів? Усе завдяки розумній системі під назвою криптографія з відкритим ключем.
Замість пароля ваш пристрій створює пару цифрових ключів. Один — публічний (його знає сайт), інший — приватний (він є вашим секретом і ніколи не залишає пристрою). Доводячи, що у вас є приватний ключ, ви підтверджуєте свою особу без передачі пароля чи секретів через Інтернет.
Розглянемо робочий процес на прикладі нашої платформи:
Коли ви заходите на сайт, що підтримує безпарольний вхід, вам запропонують використати автентифікатор FIDO замість пароля. Кнопка може мати напис «Опції входу» або подібне.
Після вибору відкриється системне вікно, де потрібно обрати пристрій для автентифікації: ваш комп’ютер, телефон або окремий апаратний ключ.
Під час першої реєстрації ваш пристрій створить пару криптографічних ключів — приватний залишиться лише на пристрої, а публічний буде передано на сайт. Вас попросять підтвердити особу за допомогою біометрії або PIN-коду.
Під час наступних входів сайт надсилатиме криптографічне завдання на ваш пристрій. Пристрій підписує це завдання своїм приватним ключем, що є доказом володіння пристроєм — не розкриваючи секретний ключ.
Сервер перевіряє підпис, використовуючи збережений публічний ключ. Якщо все збігається — вхід успішний!
Які переваги має FIDO2?
Основна перевага — FIDO захищає вас з усіх боків:
Потужна безпека. Захищає від атак, заснованих на викрадених даних, як-от фішинг. Приватний ключ зберігається тільки на вашому пристрої, і його неможливо скопіювати. У разі витоку даних хакери отримають лише публічний ключ, який сам по собі не дозволяє увійти.
Кращий користувацький досвід. Жодних паролів чи кодів — автентифікація стає швидшою. І водночас безпечнішою, адже метод стійкий до фішингу.
Відповідність вимогам. FIDO відповідає сучасним вимогам безпеки, включаючи GDPR, HIPAA, PSD2 та NIS2, адже забезпечує сильну перевірку особи без спільних секретів. Це також рекомендований NIST SP 800-63 та CISA метод багатофакторної автентифікації. Багато урядових установ, включно з федеральними агентствами США, впроваджують FIDO у свої стратегії Zero Trust згідно з Executive Order 14028.
Де насправді можна використовувати FIDO та Passkeys?
Найкраще в усьому русі до безпарольної автентифікації те, що ви вже можете використовувати її на багатьох звичних вам сайтах і в додатках.
Розберімося, де саме це можливо.
Для особистих облікових записів
Почнемо з особистих акаунтів. Велика трійця — Apple, Google і Microsoft — повністю підтримують Passkeys. Це означає, що ви можете входити до iCloud, Google або Microsoft без введення пароля. І це ще не все — велика кількість інших сервісів, від соцмереж до банків, також дозволяють входити за допомогою passkey або фізичного ключа безпеки.
Як тільки ви переконаєтесь, що сервіс підтримує FIDO, налаштування займе менше хвилини. Просто зайдіть у налаштування безпеки вашого акаунту і знайдіть опцію додати новий passkey.
Головна порада: не обмежуйтесь одним пристроєм. Ми наполегливо рекомендуємо додати кілька passkey одразу — наприклад, для телефона і ноутбука.
У більшості випадків passkey синхронізуються автоматично через вашу екосистему — наприклад, Google або iCloud. І це важливо: якщо ви втратите телефон, ви не втратите доступ до облікового запису — можна використати ноутбук, увійти через Face ID або PIN і продовжити роботу.
На роботі (навіть для додатків, що офіційно не підтримують)
Тут починається найцікавіше. У вас можуть бути робочі застосунки, що не підтримують FIDO напряму, але їх можна зробити безпарольними через єдиний вхід (SSO) із використанням FIDO-сертифікованого постачальника ідентифікації (IdP), такого як Hideez.
Уявіть собі це як цифровий офіс безпеки. Коли ви відкриваєте додаток, вас спершу перенаправляють до цього «офісу». Ви підтверджуєте свою особу через безпечну автентифікацію FIDO, і система видає вам цифровий перепустку, яку довіряють всі інші корпоративні застосунки.
У Hideez ми пропонуємо декілька зручних і безпечних способів входу.
Наш основний метод — новий стандарт безпеки: passkeys. Ви можете використовувати функції ваших пристроїв — Face ID, відбиток пальця або PIN на смартфоні чи ноутбуці. Також повністю підтримуються апаратні ключі безпеки, сертифіковані за стандартом FIDO, для тих, хто віддає перевагу окремим фізичним пристроям.
Ще один варіант — наш мобільний автентифікатор, що працює з динамічними QR-кодами. Щоб увійти з комп’ютера, достатньо відкрити застосунок на телефоні й відсканувати QR-код на екрані. Це швидкий і безпечний спосіб підтвердити вашу особу через довірений пристрій у вас під рукою.
Які основні недоліки впровадження FIDO2?
Ми вже розглянули переваги FIDO2, але давайте чесно поговоримо про недоліки. Без маркетингового глянцю — ось реальні виклики, які варто враховувати перед переходом на безпарольну автентифікацію.
1. Проблема «застарілих» технологій
Найбільша складність — не всі програми підтримують FIDO. Ви неминуче стикнетеся з застарілими системами, як-от локальне ПЗ, старі VPN-клієнти чи шлюзи RDP, які не сумісні ні з FIDO, ні з сучасними SSO. У таких випадках доведеться залишити парольну автентифікацію та забезпечити управління обома методами.
Наші апаратні ключі створені саме для таких ситуацій. Вони працюють у двох режимах: як ключ FIDO2 для сучасних сервісів і як захищений менеджер паролів для старих систем. Кожен ключ зберігає понад 1000 пар логінів і паролів, які можна автоматично вводити одним натисканням (можливо також з PIN-кодом).
2. Пароль не завжди зникає
Іронія сучасного стану речей у тому, що більшість сервісів не видаляють старі паролі навіть після додавання passkey. Вони залишаються як «резервний варіант», якщо ви втратите пристрій з passkey.
Хоч це й здається зручним, такий підхід залишає активним найслабший елемент — пароль, що знову відкриває доступ для атак. Тренд рухається до повного видалення паролів, але на сьогодні більшість облікових записів усе ще мають цю вразливість.
3. Не всі Passkeys однакові (синхронізовані vs. прив’язані до пристрою)
Це критичне питання для бізнесу. Існує два основні типи passkey, і кожен має свої плюси і мінуси щодо зручності та контролю:
Прив’язані до пристрою Passkeys: Прив’язані до конкретного пристрою, наприклад фізичного ключа безпеки або мобільного автентифікатора, що локально зберігає ключ. Такий підхід забезпечує набагато більший контроль, адже компанія точно знає, що облікові дані не можуть бути використані з особистого ноутбука або планшета. У середовищах із підвищеними вимогами до безпеки автентифікатори, які генерують ключі, прив’язані до пристрою — найкращий варіант.
Синхронізовані Passkeys: Це ті, що ви отримуєте разом із Google або Apple акаунтом. Вони надзвичайно зручні для користувачів, адже автоматично синхронізуються між усіма пристроями через iCloud або Google Password Manager. Але для компаній, які потребують жорсткого контролю, це може бути недоліком — адже складніше відстежити, з якого саме пристрою виконується вхід.
Як увімкнути автентифікацію FIDO2 за допомогою Hideez?
Не знаєте, з чого почати перехід на безпарольну автентифікацію? Ми вас розуміємо — і саме тому зробили процес максимально простим.
Як сертифіковані учасники FIDO Alliance, ми створили платформу Hideez Cloud Identity з безкоштовним рівнем, що дозволяє налаштувати безпарольний єдиний вхід (SSO) для до 20 користувачів.
Це дає вашим співробітникам два прості способи входу: або через вже існуючі синхронізовані passkey на їхніх особистих пристроях (Google чи Apple), або за допомогою нашого застосунку Hideez Authenticator, який використовує захищені QR-коди для прив’язки входу до конкретного смартфона.
Для компаній зі складнішими потребами — як-от підтримка застарілих програм, безпека RDP-сесій чи навіть фізичний контроль доступу — ми пропонуємо рішення Enterprise Identity. Воно створене для об’єднання хмарних застосунків і складних частин IT-інфраструктури.
Найкращий спосіб обрати відповідний підхід — просто обговорити його з нами. Забронюйте демо-дзвінок, і ми допоможемо вам знайти ідеальну безпарольну стратегію для вашого бізнесу.
Поширені запитання (FAQ)
1. Що таке автентифікатор FIDO?
Автентифікатор FIDO2 — це пристрій або програмне забезпечення, що підтримує стандарт FIDO2 для безпарольного входу. Такі інструменти створюють і зберігають криптографічні ключі, дозволяючи вам входити до акаунтів без паролів. Вони бувають у різних форматах і зазвичай поділяються на три категорії:
Біометрична автентифікація: Дозволяє входити за допомогою сканування відбитка пальця або обличчя. Це швидкий, зручний і безпечний метод, підтримується на більшості сучасних смартфонів і ноутбуків.
Блокування екрана: Якщо немає біометричних сенсорів, користувачі можуть пройти автентифікацію через PIN-код або блокування екрана пристрою. Це ідеальний варіант для старих або настільних пристроїв без біометрії.
Фізичні ключі безпеки: Також відомі як токени безпеки або ключі FIDO2, це зовнішні пристрої для безпарольного входу, які підключаються через USB, NFC або Bluetooth. Популярні приклади: YubiKey, Hideez Key тощо. Користувач вставляє або прикладає ключ, іноді вводячи PIN, а деякі ключі навіть мають вбудовані біометричні сенсори.
2. Типи й приклади FIDO-автентифікаторів
Платформні автентифікатори вбудовані у ваш пристрій і не можуть бути вилучені. Це робить їх максимально зручними — ви можете пройти автентифікацію на тому самому пристрої, де почали вхід.
Приклад: Сканування відбитка пальця через вбудований сканер на ноутбуці. Жодних додаткових пристроїв — просто дотик і вхід виконано.
Приклад платформної автентифікації
Кросплатформні автентифікатори (roaming authenticators) — це зовнішні пристрої, що працюють з кількома пристроями. Наприклад, ви можете використати смартфон або фізичний ключ (як-от Hideez Key) для входу у програму на ПК.
Приклад: Фізичні ключі завжди вважаються кросплатформними, а смартфони можуть бути і внутрішніми, і зовнішніми автентифікаторами — залежно від сценарію використання.
3. Які платформи та браузери підтримують FIDO2?
Пам’ятайте: ваш пристрій і браузер повинні підтримувати технологію. Станом на 2025 рік практично всі сучасні ОС (Windows, macOS, iOS, Android) і браузери (Chrome, Safari, Edge, Firefox) вже повністю сумісні. Інтерфейс може відрізнятись, але рівень захисту всюди однаково високий.
Скріншот нижче демонструє, які операційні системи наразі підтримуються:
4. FIDO2 vs. U2F — у чому різниця?
Ключова відмінність між FIDO2 і FIDO U2F — в обсязі функціональності. FIDO2 був створений для повністю безпарольної автентифікації. FIDO U2F же виконував роль другого фактора безпеки для логінів із паролем.
З появою FIDO2 протокол U2F було інтегровано як CTAP1 (Client to Authenticator Protocol 1). Це забезпечує зворотну сумісність: існуючі U2F-пристрої можуть функціонувати як другий фактор у FIDO2-сумісних системах. Деякі сайти використовують FIDO2 для безпарольного входу, інші — U2F для підсилення 2FA.
Крім того, FIDO2 включає CTAP2 і WebAuthn. CTAP2 забезпечує розширену автентифікацію, а WebAuthn — API, що дозволяє браузерам і серверам взаємодіяти з FIDO2-пристроями.
5. FIDO2 vs. WebAuthn
FIDO2 і WebAuthn тісно пов’язані, але мають різні ролі. FIDO2 — це загальний стандарт, що об’єднує WebAuthn (від W3C) та CTAP2 (від FIDO Alliance). WebAuthn — це веб-API, що дозволяє сайтам і застосункам здійснювати безпарольну автентифікацію. Він є мостом між браузером і автентифікатором, а CTAP2 визначає, як автентифікатори взаємодіють із пристроєм користувача.
6. FIDO2 vs. FIDO
FIDO (Fast Identity Online) — це загальна назва альянсу і всіх його стандартів: FIDO U2F, FIDO2 та відповідних протоколів. FIDO2 є наступним поколінням технології FIDO, яке дозволяє безпарольний вхід через WebAuthn і CTAP2. FIDO U2F ж мав обмеження — виконував лише функцію додаткового фактора безпеки.
