Що таке FIDO? Досліджуйте безпарольне майбутнє онлайн-ідентифікації.

У цифрову епоху ми щодня потребуємо входу в різноманітні онлайн-сервіси, від електронної пошти до банківського акаунту, від соціальних платформ до робочих систем. Традиційні методи верифікації паролів не лише громіздкі та легко забуваються, але й мають серйозні проблеми з безпекою. Згідно з звітом IBM X-Force Threat Intelligence Index, майже третина кібератак пов'язана з захопленням дійсних акаунтів користувачів. Саме в такому контексті протокол FIDO з'явився, щоб забезпечити нам більш безпечний та зручний безпарольний досвід верифікації.

!

Основні концепції FIDO

FIDO (Швидка Ідентифікація Онлайн) — це набір відкритих стандартів автентифікації, розроблений Альянсом FIDO, який було засновано в липні 2012 року. Метою альянсу є вирішення проблеми відсутності взаємодії між технологіями сильної автентифікації та зменшення залежності користувачів від кількох імен користувачів і паролів.

FIDO2 є відкритим стандартом безпарольної аутентифікації, розробленим альянсом FIDO спільно з альянсом Всесвітньої павутини (W3C), який був опублікований у 2018 році, замінивши перший стандарт FIDO 1.0, випущений у 2014 році. Основу FIDO2 складають два протоколи: веб-автентифікація (WebAuthn) та протокол клієнт-до-автентифікатора версії два (CTAP2). Ці протоколи працюють разом, дозволяючи користувачам входити на веб-сайти або в додатки без використання традиційних паролів.

Як працює FIDO: дивовижне застосування криптографії з відкритим ключем

FIDO2 верифікація використовує технологію шифрування з відкритим ключем для генерації унікальної пари ключів, відомої як “прохідний ключ” (Passkey), яка пов'язана з акаунтом користувача. Ця пара ключів містить відкритий ключ, збережений у постачальника послуг, і закритий ключ, що знаходиться на пристрої користувача.

Коли користувач бажає увійти до свого акаунту, постачальник послуг надсилає запит на пристрій користувача (зазвичай це рядок випадкових символів). Пристрій запитує у користувача підтвердити свою особу, ввівши PIN-код, використовуючи біометричну верифікацію (таку як відбиток пальця або розпізнавання обличчя) або використовуючи безпечний ключ.

Якщо користувач успішно пройде верифікацію, пристрій підпише цей запит за допомогою приватного ключа і відправить його назад постачальнику послуг. Постачальник послуг використовує відкритий ключ для перевірки, чи був використаний відповідний приватний ключ, і на цій основі надає користувачеві доступ до його акаунту.

Оскільки приватний ключ завжди зберігається на пристрої користувача і ніколи не покидає його, це значно знижує ризик безпекових вразливостей. Навіть якщо сервери постачальника послуг будуть зламані, хакери зможуть отримати лише публічний ключ, що майже нічого для них не варте.

Переваги FIDO: чому це краще за паролі

У порівнянні з традиційними паролями, верифікація FIDO має кілька значних переваг:

1. Підвищена безпека: FIDO2 веріфікатор забезпечує, що зашифровані облікові дані для входу є унікальними для кожного сайту і завжди зберігаються на пристрої користувача, ніколи не зберігаються на серверах. Цей підхід ефективно запобігає фішинг-атакам, крадіжці паролів, заповненню облікових даних та атакам повторного використання.
2. Зручний досвід користувача: користувачі можуть проходити верифікацію за допомогою простих вбудованих методів (таких як розпізнавання відбитків пальців або розпізнавання обличчя), усуваючи необхідність запам'ятовувати складні паролі. Дослідження показало, що FIDO верифікація пропонує безпечнішу та зручнішу альтернативу традиційним паролям та двофакторній аутентифікації через SMS.
3. Захист конфіденційності: Верифікація FIDO забезпечує, що ключі шифрування є специфічними для сайту, запобігаючи кросс-сайтовому трекінгу. Коли використовується біометрія, біометричні дані не залишають пристрій користувача, що забезпечує додатковий захист конфіденційності.
4. Взаємодія та масштабованість: стандарт FIDO2 підтримується більшістю користувацьких пристроїв, веб-браузерів, системами одноразового входу, рішеннями для управління ідентифікацією та доступом, веб-серверами та операційними системами (включаючи iOS, MacOS, Android та Windows). Увімкнення FIDO2 паролів на сайті також дуже просте, досить одного простого виклику JavaScript API.

Практичні випадки використання FIDO

FIDO верифікація вже знайшла широке застосування в багатьох галузях та сценаріях:

• Фінансовий сектор: Тайванська компанія Weikang Technology у партнерстві з 60% фінансових установ країни, включаючи Cooperative Bank і Mega Bank, першою впроваджує фінансові FIDO послуги. Mega Bank та Mega Insurance вперше впровадили фінансові FIDO у червні 2023 року для оновлення інформації про фінансові операції в хмарному сервісі, онлайн-відкриття рахунків цінних паперів та прив'язки рахунків для розрахунків.
• Платіжні послуги: найбільша платіжна обробна компанія Південної Кореї BC Card використовує в своєму мобільному платіжному додатку paybooc верифікацію FIDO, застосовуючи біометричну аутентифікацію за допомогою відбитків пальців, обличчя та голосу для входу. Станом на травень 2018 року понад 1,2 мільйона користувачів зареєструвались у paybooc за допомогою біометричної аутентифікації, здійснюючи більше 1 мільйона транзакцій щомісяця.
• Корпоративна безпека: Компанія HID представила нове покоління продуктів серії FIDO для верифікації та додала функцію “Управління корпоративними ключами” (Enterprise Passkey Management, EPM), що допомагає підприємствам більш ефективно розгортати та управляти паролями. Згідно з дослідженням FIDO Alliance, наразі приблизно 87% підприємств почали використовувати технологію паролів.

Майбутнє розвитку FIDO

З розвитком цифрової ідентичності стандарти FIDO також продовжують еволюціонувати. У червні 2023 року два документи FIDO Альянсу, FIDO UAF 1.2 та CTAP 2.1, були визнані міжнародними стандартами Міжнародним союзом електрозв'язку, сектором стандартів електрозв'язку (ITU-T). Ця віхова подія закріпила ці стандарти як офіційні стандарти Міжнародного союзу електрозв'язку для глобальної інфраструктури інформаційних та комунікаційних технологій.

Девід Тернер, старший директор з розробки стандартів FIDO Альянсу, заявив: “FIDO Альянс покращує онлайн-автентифікацію за допомогою відкритих стандартів на основі технології криптографії з відкритим ключем, що робить автентифікацію більш потужною та зручною, ніж паролі або одноразові коди.”

Висновок

Протокол FIDO представляє собою більш безпечний і зручний спосіб автентифікації, який за допомогою криптографії з відкритим ключем і сучасних біометричних технологій надає нам можливість автентифікації без необхідності запам'ятовувати складні паролі. У міру ускладнення загроз кібербезпеці та поглиблення цифрового життя, поширення та застосування стандартів FIDO стануть усе більш широкими, ставши важливим фундаментом для побудови безпечного цифрового світу.

Незалежно від того, чи є ви особистим користувачем, чи підприємницькою організацією, розуміння та впровадження верифікації FIDO допоможе підвищити онлайн-безпеку, одночасно забезпечуючи більш зручний досвід користування. З розвитком технологій та вдосконаленням стандартів, FIDO має потенціал кардинально змінити наше сприйняття та практику онлайн-автентифікації, справді реалізуючи безпарольне майбутнє.