Что такое FIDO? Исследуйте будущее без паролей в онлайн-идентификации.

В цифровую эпоху нам каждый день нужно входить в самые разные онлайн-сервисы, от электронной почты до банковского счета, от социальных платформ до рабочих систем. Традиционные методы аутентификации с помощью паролей не только громоздки и легко забываются, но и имеют серьезные проблемы с безопасностью. Согласно отчету IBM X-Force Threat Intelligence Index, почти треть кибератак связана с захватом действующих пользовательских счетов. Именно на таком фоне возник Протокол FIDO, который предлагает нам более безопасный и удобный опыт аутентификации без пароля.

!

Основные концепции FIDO

FIDO (Fast Identity Online) — это набор открытых стандартов аутентификации, разработанный альянсом FIDO, основанным в июле 2012 года. Цель альянса — решить проблему отсутствия взаимной совместимости между технологиями сильной аутентификации и снизить зависимость пользователей от множества имен пользователей и паролей.

FIDO2 — это открытый стандарт аутентификации без паролей, разработанный Альянсом FIDO и Всемирной паутиной (W3C), выпущенный в 2018 году, который заменил первый стандарт FIDO 1.0, выпущенный в 2014 году. Ядро FIDO2 состоит из двух протоколов: веб-аутентификации (WebAuthn) и протокола аутентификатора клиента второй версии (CTAP2). Эти протоколы работают совместно, позволяя пользователям входить на сайты или в приложения без использования традиционных паролей.

Как работает FIDO: искусство криптографии с открытым ключом

FIDO2 верификация использует технологии шифрования с открытым ключом для создания уникальной пары ключей, называемой “ключом доступа” (Passkey), которая связана с учетной записью пользователя. Эта пара ключей включает открытый ключ, хранящийся у поставщика услуг, и закрытый ключ, который находится на устройстве пользователя.

Когда пользователь хочет войти в свой счет, поставщик услуг отправляет запрос на устройство пользователя (обычно это случайная строка символов). Устройство предлагает пользователю подтвердить свою личность, введя PIN-код, используя биометрическую верификацию (например, отпечаток пальца или распознавание лица) или используя безопасный ключ.

Если пользователь успешно прошел верификацию, устройство подпишет этот запрос с помощью закрытого ключа и отправит его обратно поставщику услуг. Поставщик услуг использует открытый ключ, чтобы проверить, был ли использован соответствующий закрытый ключ, и на основании этого предоставляет пользователю доступ к его счету.

Поскольку приватный ключ всегда хранится на устройстве пользователя и никогда не покидает его, это значительно снижает риск безопасности. Даже если серверы поставщика услуг будут взломаны, хакеры смогут получить только публичный ключ, что для них практически бесполезно.

Преимущества FIDO: почему лучше, чем пароли

По сравнению с традиционными паролями, верификация FIDO имеет несколько значительных преимуществ:

1. Усиленная безопасность: FIDO2 аутентификатор обеспечивает уникальность зашифрованных учетных данных для каждого сайта и всегда сохраняет их на устройстве пользователя, никогда не хранится на сервере. Такой подход эффективно предотвращает фишинг, кражу паролей, заполнение учетных данных и атаки воспроизведения.
2. Удобный пользовательский опыт: пользователи могут проходить верификацию с помощью простых встроенных методов (таких как распознавание отпечатков пальцев или распознавание лиц), избавляясь от необходимости запоминать сложные пароли. Исследование показало, что FIDO верификация предоставляет более безопасную и удобную альтернативу традиционным паролям и двухфакторной аутентификации через SMS.
3. Защита личной информации: сертификация FIDO обеспечивает, что ключи шифрования являются специфичными для сайта, предотвращая кросс-сайтовое отслеживание. При использовании биометрии биометрические данные не покидают устройство пользователя, обеспечивая дополнительную защиту личной информации.
4. Интероперабельность и масштабируемость: стандарт FIDO2 поддерживается большинством пользовательских устройств, веб-браузеров, систем единого входа, решений для управления идентификацией и доступом, веб-серверов и операционных систем (включая iOS, MacOS, Android и Windows). Включение FIDO2 ключей паролей на сайте также очень просто, всего лишь один простой вызов JavaScript API.

Практические примеры использования FIDO

FIDO верификация уже широко используется в нескольких отраслях и сценариях:

• Финансовая отрасль: Тайваньская компания Weikang Technology совместно с 60% финансовых учреждений страны, включая Cooperative Bank и Mega Bank, первыми внедрила финансовые услуги FIDO. Mega Bank и Mega Insurance первыми внедрили финансовые услуги FIDO в июне 2023 года, применяя их в таких сценариях, как обновление информации о финансовых операциях в облачных кассах, онлайн-открытие счетов на ценные бумаги и привязка счетов для расчетов.
• Платежные услуги: крупнейшая в Корее компания по обработке платежей BC Card использует в своем мобильном приложении paybooc верификацию FIDO, применяя технологии биометрической аутентификации по отпечаткам пальцев, лицу и голосу для входа. По состоянию на май 2018 года более 1,2 миллиона пользователей зарегистрировались в paybooc с использованием биометрической аутентификации, совершая более 1 миллиона транзакций в месяц.
• Корпоративная безопасность: Компания HID представила новое поколение продуктов сертификации FIDO и добавила функцию “Управление корпоративными ключами” (Enterprise Passkey Management, EPM), чтобы помочь предприятиям более эффективно развертывать и управлять паролями. Согласно исследованию Альянса FIDO, в настоящее время около 87% компаний начали использовать технологию паролей.

Будущее развития FIDO

С развитием цифровой идентичности стандарты FIDO продолжают эволюционировать. В июне 2023 года две спецификации FIDO UAF 1.2 и CTAP 2.1 были признаны международными стандартами Международным союзом электросвязи (ITU-T). Этот рубеж утвердил эти стандарты как официальные стандарты Международного союза электросвязи для глобальной инфраструктуры информационных и коммуникационных технологий.

Дэвид Тёрнер, старший директор по разработке стандартов FIDO Альянса, заявил: “FIDO Альянс улучшает онлайн-идентификацию с помощью открытых стандартов на основе технологии шифрования с открытым ключом, делая аутентификацию более надежной и удобной, чем пароли или одноразовые коды.”

Вывод

Протокол FIDO представляет собой более безопасный и удобный способ верификации личности, который использует криптографию с открытым ключом и современные биометрические технологии, предоставляя нам опыт верификации без необходимости запоминать сложные пароли. С учетом все более сложных угроз кибербезопасности и углубления цифровой жизни, распространение и применение стандартов FIDO будет становиться все более широким, становясь важным основанием для построения безопасного цифрового мира.

Независимо от того, являются ли вы личным пользователем или корпоративной организацией, понимание и внедрение верификации FIDO поможет повысить онлайн-безопасность и обеспечить более плавный пользовательский опыт. С постоянным развитием технологий и совершенствованием стандартов FIDO обещает кардинально изменить наше восприятие и практику онлайн-идентификации, реально осуществив будущее без паролей.