Що таке FIDO2 і як воно працює? Переваги та недоліки безпарольної автентифікації

Авторизація на веб-сервісах за допомогою традиційної комбінації імені користувача та пароля більше не є найбезпечнішим або найефективнішим підходом. У міру вдосконалення технологій кіберзлочинців методи захисту даних також мають розвиватися. 

Саме тут нові стандарти автентифікації, такі як FIDO2, можуть стати корисним інструментом для вирішення цих проблем безпеки. Але що таке автентифікація FIDO2, і які інструменти можна використовувати замість паролів? Як працюють ключі безпеки FIDO2?

У Hideez ми допомогли десяткам організацій запровадити досвід безпарольного доступу протягом кількох останніх років. Як сертифікований член FIDO Alliance і схвалений Microsoft постачальник ключів безпеки, ми залишаємося в курсі останніх трендів і досягнень у сфері кібербезпеки. Тож давайте детальніше розглянемо цю тему!

Що таке FIDO2? Новий стандарт входу без паролів

FIDO розшифровується як Fast Identity Online. З додатковою цифрою «2» в кінці ця абревіатура базується на попередніх розробках FIDO Alliance, зокрема в розробці стандарту автентифікації Universal 2nd Factor (U2F).

FIDO Alliance була заснована в липні 2012 року компаніями PayPal, Lenovo, Nok Nok Labs, Validity Sensors, Infineon та Agnitio. Мета цього альянсу — зменшити залежність від традиційних паролів і покращити процеси автентифікації особистості.

FIDO2 є третім стандартом, створеним FIDO Alliance, після Universal Second Factor (U2F) та Universal Authentication Framework (UAF).

Основною метою FIDO2 є усунення необхідності в паролях і традиційних методах багатофакторної автентифікації (OTP, push-сповіщення, коди підтвердження SMS тощо) та заміна їх методами входу без паролів: відбиток пальця, розпізнавання обличчя, блокування екрана або апаратні токени. Таким чином, автентифікація FIDO2 є набагато зручнішою для користувачів і захищає від поширених онлайн-атак, таких як фішинг, спуфінг, кейлогінг, атаки грубої сили, MITM та інші загрози, пов’язані з ідентифікацією.

Що таке автентифікатор FIDO2?

Автентифікатор FIDO2 — це пристрій або програмне забезпечення, яке підтримує стандарт FIDO2 для входу без пароля. Ці інструменти створені для відповідності стандарту FIDO2, генеруючи та зберігаючи криптографічні ключі, що дозволяють отримувати доступ до облікових записів без паролів. Вони представлені у різних формах, які зазвичай поділяються на три категорії:

• Біометрична автентифікація (часто називається "ключами доступу"): Ця автентифікація дозволяє користувачам входити в систему шляхом сканування відбитка пальця або обличчя. Це швидкий, безпечний і зручний варіант, який широко підтримується на мобільних телефонах і багатьох сучасних ноутбуках.
• Блокування екрана: У разі відсутності біометричних датчиків користувачі можуть автентифікуватися за допомогою PIN-коду або блокування екрана, прив’язаного до пристрою, щоб отримати доступ до свого облікового запису. Цей варіант особливо підходить для настільних ПК або старих пристроїв, які не мають вбудованої біометрії, зберігаючи безпеку та доступність автентифікації.
• Фізичні ключі безпеки: Також відомі як апаратні токени або ключі FIDO2, фізичні ключі безпеки — це зовнішні пристрої, які забезпечують входи без паролів шляхом підключення до кінцевих пристроїв через USB, NFC або Bluetooth. Популярні приклади включають YubiKeys, Hideez Keys і Solokeys. Власники ключів безпеки автентифікуються шляхом вставлення або натискання ключа, часто у поєднанні з PIN-кодом для додаткового захисту. Деякі ключі навіть мають біометричні датчики, поєднуючи безпеку апаратної автентифікації із зручністю біометрії.

Що таке ключі доступу (Passkeys), і як вони порівнюються з автентифікаторами FIDO?

У травні 2022 року компанії Apple, Google і Microsoft зробили революційну заяву: вони підтримуватимуть автентифікацію FIDO2 на своїх платформах під новою назвою "Passkeys". Об'єднавши всі форми автентифікації FIDO2, вони прагнуть зробити входи без паролів більш доступними та безшовними як для окремих споживачів, так і для підприємств.

То чи є Passkeys просто автентифікаторами FIDO2 під новою назвою? Не зовсім. Passkeys мають ту ж основну структуру, що й автентифікатори FIDO2, але є одна ключова відмінність. У той час як традиційні специфікації FIDO2 вимагають, щоб приватний ключ ніколи не залишав ваш пристрій, Passkeys можуть працювати двома різними способами:

• Синхронізовані ключі доступу (Synced Passkeys) використовують хмарне сховище (наприклад, iCloud, Google Password Manager або Microsoft Authenticator) для безшовної синхронізації облікових даних між усіма пристроями користувача. Це означає, що ви більше не будете заблоковані від своїх облікових записів, якщо втратите доступ до одного з пристроїв. Синхронізовані ключі підтримують високий рівень безпеки, забезпечуючи легкий доступ між пристроями, незалежно від того, чи ви на ноутбуці, планшеті чи телефоні.
• Ключі доступу, прив’язані до пристрою (Device-bound Passkeys), залишаються прив’язаними до конкретного фізичного пристрою, такого як фізичний ключ безпеки або мобільний телефон. Ці ключі дотримуються найсуворіших принципів безпеки, забезпечуючи, що ваші облікові дані не працюють на іншому обладнанні. Це робить їх ідеальними для організацій із суворими політиками безпеки, оскільки вони обмежують доступ лише до одного авторизованого пристрою, додаючи додатковий рівень контролю.

Перехід до кросплатформенної та міжпристрійної моделі зробив автентифікацію FIDO2 практичною як для особистого, так і для бізнес-використання. Проте інструменти для входу без паролів використовуються дуже по-різному окремими особами та підприємствами, головним чином через різницю в масштабах, управлінні користувачами та регуляторних вимогах.

Підтримка платформ/браузерів FIDO від FIDO Alliance

Як працює FIDO2?

Протокол FIDO2 базується на криптографії з відкритим ключем для забезпечення безпечної автентифікації без пароля. Завдяки обміну приватними та публічними ключами він перевіряє особу кожного користувача, не розкриваючи конфіденційну інформацію.

Ось простий приклад, як працює автентифікація без пароля з FIDO2:

1. Коли користувач ініціює вхід до вебсервісу за допомогою FIDO2, сервер FIDO2 надсилає виклик. Цей виклик вимагає, щоб користувач відповів на нього, підписавши приватний ключ FIDO2.
2. Потім користувач діє за допомогою свого автентифікатора FIDO2, який він налаштував раніше. Це може означати дотик до сканера відбитків пальців, натискання ключа безпеки або введення PIN-коду. Автентифікатор надсилає відповідь назад до сервера з підписаними даними приватного ключа.
3. Нарешті, сервер перевіряє цей підпис за допомогою публічного ключа, зареєстрованого під час налаштування. Якщо все збігається, користувач отримує доступ до свого облікового запису — без пароля!

Після встановлення захищеного шляху зв'язку облікові дані зберігаються постійно, що дозволяє швидко та безпечно входити в майбутньому. Найкраще? Ви ніколи не передаєте конфіденційну інформацію серверу під час цього процесу.

Ваші біометричні дані залишаються на вашому персональному пристрої і ніколи не передаються на віддалений сервер. Сервер отримує лише підтвердження, що перевірка вашої особи пройшла успішно, зберігаючи ваші приватні дані саме там, де їм належить бути — на вашому пристрої.

Випадки використання автентифікації FIDO2

Як впливає FIDO2 на загальний досвід користувача через реальні приклади? Ще важливіше для середнього користувача — в якій формі це можна реалізувати у повсякденному житті? Давайте детальніше розглянемо, як ви можете впровадити входи без паролів FIDO2 у різних формах:

1. Вбудовані автентифікатори платформи

Вбудовані автентифікатори платформи інтегровані у ваш пристрій і не можуть бути вилучені, що робить їх простими та зручними у використанні. Фактично, весь процес автентифікації ви можете завершити на тому самому пристрої, який використовували для початку входу.

Приклад? Сканування відбитка пальця за допомогою вбудованого сканера на вашому ноутбуці. Жодного зовнішнього пристрою не потрібно — просто торкніться, і ви ввійшли.

Приклад автентифікації платформи

2. Міжплатформені автентифікатори

Також відомі як "мандрівні автентифікатори", міжплатформені автентифікатори — це зовнішні пристрої, призначені для роботи з багатьма пристроями. Наприклад, ви можете використовувати свій смартфон або фізичний ключ безпеки, такий як Hideez Key, для входу в десктопний додаток на своєму комп’ютері.

Фізичні ключі безпеки завжди класифікуються як міжплатформені, тоді як смартфони можуть бути як внутрішніми (платформеними), так і зовнішніми автентифікаторами залежно від їх використання.

Приклад міжплатформеної автентифікації

Переваги та недоліки FIDO2

Переваги FIDO2

Автентифікація FIDO2 пропонує безліч переваг для сучасної безпеки. Ось деякі з основних причин, чому вона набуває популярності серед окремих користувачів і бізнесів:

• Високий рівень безпеки. Найзначнішою перевагою автентифікації FIDO2 є створення дуже обмеженого вікна для кіберзлочинців. Щоб отримати доступ до ваших конфіденційних даних, зловмисникам знадобиться ваш автентифікатор FIDO2, який фізично завжди буде поруч із вами у формі вашого пристрою чи біометричних даних.
• Сумісність із Zero Trust. Модель Zero Trust базується на принципі "ніколи не довіряй, завжди перевіряй", що є вирішальним у сучасному середовищі роботи. FIDO2 ідеально відповідає цій моделі, пропонуючи стійку до фішингу багатофакторну автентифікацію.
• Покращений користувацький досвід. Більш оптимізований досвід, адже вам більше не потрібно пам’ятати кілька облікових даних і паролів для кожного облікового запису.

Недоліки FIDO2

Як і будь-який інший метод безпеки, стандарт FIDO2 має певні недоліки. Ці недоліки не є вирішальними, але варто бути обізнаним про них:

• Обмежене споживче впровадження: Незважаючи на те, що впровадження FIDO2 зростає, воно ще не є універсальним серед вебсервісів.
• Вимоги підприємств: Passkeys є значним поліпшенням у порівнянні з паролями, але для організацій, яким потрібен суворий контроль над ідентичністю користувачів, синхронізовані ключі можуть бути не найкращим рішенням.

Як увімкнути автентифікацію FIDO2?

FIDO2 дозволяє користувачам входити в систему без паролів, використовуючи пари відкритих і закритих ключів, а також стійкі до фішингу методи. Ось покрокова інструкція, як увімкнути автентифікацію FIDO2 для особистого використання та підприємств:

Для особистого використання

Щоб налаштувати входи без паролів як індивідуальний користувач, потрібно пройти кілька етапів:

1. Перевірте сумісність

• Переконайтеся, що вебсервіси, які ви використовуєте, підтримують входи FIDO2 або Passkey.
• Популярні платформи, такі як Google, Microsoft і Apple, уже підтримують Passkey для безпечних входів.

2. Доступ до налаштувань безпеки

• Перейдіть до розділу Безпека або Налаштування облікового запису.
• Шукайте опцію, що називається "Ключ безпеки", "Passkey" або "Вхід без пароля" (термінологія може змінюватися залежно від сервісу).

3. Зареєструйте ваш автентифікатор FIDO2

• Дотримуйтесь вказівок для реєстрації пристрою з підтримкою біометрії або фізичного ключа безпеки.
• Під час налаштування сервіс створить пару відкритих і закритих ключів, унікальних для вашого облікового запису.

4. Насолоджуйтесь безперешкодними входами! Надалі ви будете використовувати обраний метод FIDO2 замість пароля.

Приклад налаштування Passkeys у Google Workspace

Для використання в підприємствах

Впровадження автентифікації FIDO2 в організації потребує стратегічного планування. Ось як почати:

1. Оцінка потреб у безпеці

• Визначте групи користувачів залежно від рівня їхнього доступу. Наприклад, загальні користувачі можуть використовувати синхронізовані Passkeys на персональних або корпоративних пристроях, тоді як привілейовані користувачі можуть вимагати фізичних ключів безпеки для підвищення безпеки.
• Оцініть вимоги вашої організації щодо відповідності та моделі загроз, щоб вирішити, які методи FIDO2 краще підходять.

2. Оберіть постачальника рішень

• Оберіть постачальника, який інтегрується з вашими системами управління ідентифікацією (IAM), такими як Microsoft Active Directory або Okta.
• Переконайтеся, що обране рішення підтримує широкий спектр методів FIDO2, включаючи біометрію, мобільну автентифікацію та апаратні ключі безпеки.

3. Запуск пілотного проєкту

Співпрацюйте з постачальником рішень для запуску пілотного проєкту автентифікації без паролів для окремих застосунків. Почніть із невеликої групи користувачів, щоб оцінити зручність використання, сумісність і задоволеність співробітників.

Випробуйте вхід без паролів із Hideez

Якщо ви не знаєте, з чого почати, Hideez допоможе вам спростити перехід до автентифікації без паролів. З нашим Basic Identity порталом ви можете увімкнути безкоштовний єдиний вхід (SSO) для до 50 користувачів.

Для організацій із більш складними потребами Hideez пропонує Enterprise Identity service, який підтримує широкий спектр методів FIDO2, забезпечуючи гнучкість і адаптивність для різних сценаріїв.

Готові перейти до майбутнього автентифікації? Замовте демонстрацію сьогодні!

FAQ

1. Що таке FIDO U2F і як це працює?

FIDO U2F (Universal 2nd Factor) — це стандарт безпеки, розроблений для підвищення рівня онлайн-аутентифікації шляхом додавання надійного другого фактора до традиційних паролів. Він використовує апаратний ключ безпеки, наприклад, USB- або NFC-пристрій, який генерує унікальний криптографічний ключ для кожного сервісу. Користувачі автентифікуються, натискаючи свій ключ або вставляючи його у пристрій, забезпечуючи захищену від фішингу двофакторну автентифікацію (2FA). U2F не замінює паролі, а доповнює їх, роблячи входи більш безпечними.

2. FIDO2 проти U2F – у чому різниця?

Ключова різниця між FIDO2 і FIDO U2F полягає в їхньому призначенні. FIDO2 створено для забезпечення входу без паролів, повністю усуваючи необхідність у паролях. Натомість FIDO U2F було розроблено виключно як другий фактор для посилення входів із використанням паролів, виступаючи як FIDO 2FA.

З появою FIDO2, U2F було інтегровано в FIDO2 у вигляді протоколу CTAP1 (Client to Authenticator Protocol 1). Це гарантує, що наявні пристрої U2F можуть продовжувати виконувати роль другого фактора у системах із підтримкою FIDO2, забезпечуючи зворотну сумісність.

3. FIDO2 проти WebAuthn

FIDO2 і WebAuthn тісно пов’язані, але мають різні завдання. FIDO2 — це ширший стандарт, який охоплює як WebAuthn (розроблений W3C), так і CTAP2 (розроблений FIDO Alliance). WebAuthn — це веб-API, що дозволяє браузерам і серверам взаємодіяти з автентифікаторами FIDO2, забезпечуючи входи без паролів.

4. FIDO2 проти FIDO

FIDO (Fast Identity Online) є загальною платформою, яка охоплює всі стандарти, включаючи FIDO U2F, FIDO2 та пов'язані з ними протоколи. FIDO2 — це еволюція оригінальної платформи FIDO, яка розширює її можливості, забезпечуючи входи без паролів за допомогою WebAuthn і CTAP2.

5. Які вебсайти підтримують FIDO2?

Все більше вебсайтів і сервісів підтримують FIDO2, включаючи великі технологічні платформи, такі як Google, Microsoft, Apple і Dropbox. Ці сервіси дозволяють користувачам реєструвати автентифікатори FIDO2, наприклад, апаратні ключі чи біометричні пристрої, для захисту своїх облікових записів. Багато організацій також інтегрують FIDO2 для внутрішнього використання, забезпечуючи входи без паролів для співробітників.