ARTICLE

FIDO2: НОВИЙ БЕЗПАРОЛЬНИЙ СТАНДАРТ

Принцип роботи, переваги та недоліки

Авторизація на вебсайті або сервісах за допомогою традиційної комбінації імені користувача та пароля вже не є найкращим або найбезпечнішим способом. Оскільки кіберзлочинці стають все більш технологічно просунутими, методи захисту даних також повинні рухатися вперед. Саме тут нові стандарти автентифікації, такі як FIDO2, можуть стати корисним інструментом у боротьбі з цією проблемою.
Але які специфікації та вимоги FIDO2? Ба більше, як взагалі працюють вебсайти FIDO2? У цьому детальному огляді ми відповімо на ці та багато інших важливих запитань, що стосуються цього стандарту безпарольної автентифікації. Продовжуйте читати, щоб дізнатися все про стандарт FIDO2.

Що таке FIDO2? Новий безпарольний стандарт 

FIDO розшифровується як Fast Identity Online. Ця абревіатура з додатковою цифрою два в кінці базується на попередній роботі, виконаній Альянсом FIDO, зокрема в частині розробки стандарту автентифікації Universal 2nd Factor (U2F). Це третій стандарт, який з'явився в Альянсі FIDO, після Універсального другого фактору FIDO (UAF) та Універсальної системи автентифікації FIDO.  Основною метою FIDO2 є усунення використання паролів в Інтернеті. Він був розроблений для впровадження відкритих і вільних від ліцензій стандартів для безпечної безпарольної автентифікації в Інтернеті. Процес автентифікації FIDO2 усуває традиційні загрози, пов'язані з використанням імені користувача та пароля для входу в систему, замінюючи їх на стандарт входу FIDO2. Отже, він захищає від поширених онлайн-атак, таких як фішинг і атак типу man-in-the-middle. 

Як працює FIDO2? 

Цей стандарт застосовує криптографію з відкритим ключем, щоб гарантувати безпечну та зручну систему автентифікації. Для цього стандарт FIDO2 використовує приватний і публічний ключі для підтвердження особи кожного користувача. Щоб використовувати автентифікацію FIDO2, вам потрібно зареєструватися на сервісах, що підтримують FIDO2. Хоча найбільші світові платформи, такі як Apple, Google і Microsoft, підтримують FIDO, вони не є єдиною рушійною силою Альянсу FIDO, який співпрацює з сотнями компаній по всьому світу, щоб зробити простішу і надійнішу автентифікацію реальністю.  
Щоб налаштувати безпарольні входи, вам потрібно виконати кілька кроків: ● Заповнити відповідну реєстраційну форму та обрати автентифікатор FIDO2 (або пристрій FIDO2, або модуль довіреної платформи). ● Сервіс згенерує пару ключів автентифікації FIDO2. ● Ваш автентифікатор FIDO2 надсилає відкритий ключ до сервісу, тоді як закритий ключ, що містить конфіденційну інформацію, залишається на вашому пристрої.  Після ввімкнення захищеного каналу зв'язку облікові дані зберігаються назавжди, що дає змогу входити в систему пізніше. Наступного разу, коли ви захочете увійти до одного з сервісів, що підтримують стандарт FIDO2, вам потрібно буде виконати такі кроки:  ● Вказати своє ім'я користувача та електронну пошту. ● Сервіс надішле вам криптографічний виклик. ● Ви використовуєте свій автентифікатор FIDO2, щоб підписати виклик. ● Сервер сервісу перевіряє вашу відповідь і надає вам доступ до вашого облікового запису.  Що особливо важливо пам'ятати для цього безпечного процесу входу в систему, то це те, що ви не обмінюєтеся ніякими секретами з серверами. Найважливіша інформація - ваш ключ безпеки FIDO2 — завжди залишається на вашому пристрої. 

Illustration

Варіанти використання FIDO2 

Отже, як FIDO2 впливає на загальний користувацький досвід на практиці? Ще більш важливим для пересічного користувача є те, в якій формі ви можете впровадити його у своєму повсякденному житті? Розгляньмо, як ви можете реалізувати безпарольний вхід FIDO2 в різних формах: 
1. Платформні автентифікатори вбудовуються в смартфони, планшети або ноутбуки співробітників, які мають вбудовані криптографічні апаратні елементи та біометричні можливості. Наприклад, платформним автентифікатором може слугувати смартфон на Android, пристрій на Windows 10 з функцією Windows Hello або пристрій Apple з функціями Touch ID або Face ID. 

Illustration

2. Багатоплатформні автентифікатори. У цьому випадку автентифікація покладається на спеціальний фізичний ключ безпеки USB, NFC або Bluetooth, який дозволяє входити в сервіси, вставивши ключ в USB-роз'єм пристрою або натиснувши кнопку на автентифікаторі. 

Illustration

FIDO2 проти U2F — у чому різниця? 

Тепер, коли ми розуміємо, як працює автентифікація FIDO2, корисно також порівняти FIDO2 з FIDO U2F, щоб визначити різницю. Найбільш суттєва різниця між ними полягає в тому, що перша була створена для того, щоб дозволити всій автентифікації стати безпарольною. FIDO U2F, навпаки, був розроблений, щоб служити другим фактором для паролів. 

Illustration

Переваги та недоліки FIDO2 

Переваги FIDO2 

Найважливішою перевагою автентифікації FIDO2 є те, що вона звужує вікно для атак кіберзлочинців. Щоб отримати доступ до вашої конфіденційної приватної інформації, зловмисникам знадобиться автентифікатор FIDO2, який фізично завжди знаходиться поруч з вами у вигляді вашого пристрою або біометричних даних.  Якщо ви використовуєте кілька сайтів, що підтримують FIDO2, ви отримаєте ще одну перевагу у вигляді більш спрощеного досвіду, оскільки вам не доведеться запам'ятовувати кілька логінів і паролів для кожного з ваших облікових записів. Ключ безпеки FIDO2 U2F буде працювати на всіх підтримуваних платформах, пропонуючи максимальну безпеку і комфорт для користувачів. 

Недоліки FIDO2 

Звичайно, як і будь-який інший метод безпеки в світі, стандарт FIDO2 має певні недоліки. Ці недоліки не є вирішальними, але ви повинні знати про них, якщо плануєте впровадити безпарольний вхід FIDO2 як практику безпеки.  Найголовніше, що цей стандарт вимагає додаткового рівня безпеки порівняно з традиційними стандартами входу за допомогою пароля, якщо ви використовуєте його як звичайний компонент двофакторної автентифікації. З огляду на це, така система не є найбільш практичною, якщо ви входите на велику кількість вебсайтів з підтримкою FIDO2 по кілька разів на день. Крім того, оскільки цей метод автентифікації все ще недостатньо поширений, наразі існує не так багато вебсайтів з підтримкою FIDO2, хоча кількість платформ і браузерів з підтримкою FIDO постійно зростає. Наприклад, ви можете увімкнути безпарольний вхід у Facebook, Twitter, Google, Dropbox, GitHub та понад 300 інших сервісів, які підтримують FIDO2 або FIDO U2F. 

Illustration

FIDO Platform/ Browser Support from FIDO Alliance

Початок роботи з автентифікацією FIDO2 

Кібератаки показали нам, що людський фактор ризику є важливим аспектом порушень кібербезпеки. Завдяки впровадженню FIDO2 та безпарольній автентифікації людський фактор ризику усувається, що робить роботу користувачів набагато безпечнішою. Великі технологічні компанії, такі як Microsoft, Google та Apple, вже підтримують ключі безпеки FIDO2. Хоча ця форма безпечного входу все ще перебуває на відносно ранній стадії розвитку, одне можна сказати напевно — за безпарольною автентифікацією майбутнє.  Для найвищого рівня безпеки та зручності Hideez пропонує безпарольну автентифікацію та MFA з багатофункціональними апаратними токенами безпеки. Вони відповідають стандарту FIDO2 і можуть забезпечити безпарольний доступ як для індивідуальних користувачів, так і для підприємств. 

Комплексна конструкція ключа Hideez Key забезпечує як зручність, так і захист завдяки унікальному набору функцій:

Цифровий доступ на основі пароля — ця функція Hideez Key забезпечує чудовий користувацький досвід у всіх сферах. Ви можете використовувати ключ для блокування або розблокування комп'ютера з Windows 10 за допомогою наближення, генерувати нові складні паролі та одноразові паролі для двофакторної автентифікації. Крім того, ви можете зберігати до 1 000 логінів і паролів від наявних облікових записів і забезпечити їх безпечне автозаповнення. Сюди також входять захищені паролем локальні папки, файли PDF, Word, ZIP і будь-які інші документи, які ви хочете зберегти в безпеці. Доступ без пароля — Пристрій також підтримує FIDO U2F і FIDO2, два відкриті стандарти автентифікації, спрямовані на зменшення надмірної залежності від паролів у світі. Це означає, що Hideez Key можна використовувати для безпарольної автентифікації та 2FA в браузерах і платформах, що підтримують FIDO (сервіси Google і Microsoft, Facebook, Twitter, Dropbox, Azure AD тощо), кількість яких постійно зростає. Hideez Key підтримує бездротову автентифікацію FIDO на пристроях з Windows 10 та Android 8+ за допомогою технології Bluetooth Low Energy (BLE).   Безконтактний вхід — Вбудований безконтактний замок захистить ваш комп'ютер кожного разу, коли ви підете з дому. Використовуючи Hideez Key, ви можете автоматично блокувати та розблоковувати свою робочу станцію Windows на основі Bluetooth-звʼязку між ключем та вашим ПК. Ви можете налаштувати спосіб блокування, встановивши бажані пороги наближення та обравши метод розблокування. Фізичний доступ — Окрім цифрового доступу, Hideez Key також забезпечує зручний фізичний доступ. Вбудована RFID-мітка може бути запрограмована на відкриття будь-якого RFID-замка в офісних будівлях, дата-центрах, фабриках тощо, замінюючи у такий спосіб смарткарту. ● Посилений захист — Hideez Key забезпечує посилений захист від фішингу та фармінгу, а також всіх інших атак, пов'язаних з паролями. Крім того, на відміну від більшості інших менеджерів паролів, Hideez Key не надсилає жодних облікових даних у хмару або третім особам. 
Якщо ви шукаєте універсальне рішення для забезпечення безпеки, Hideez Key — ідеальний вибір з різними варіантами використання, що виходять далеко за рамки аутентифікації FIDO2. А що стосується власників бізнесу, то наші експерти допоможуть вам ближче познайомитися з сучасними методами автентифікації та знайти персоналізоване рішення для управління ідентифікацією та доступом для вашої організації.