FIDO2: НОВЫЙ БЕСПАРОЛЬНЫЙ СТАНДАРТ#
Что такое FIDO2?#
FIDO расшифровывается как Fast Identity Online. Эта аббревиатура с дополнительной цифрой два в конце базируется на предыдущей работе, выполненной Альянсом FIDO, в частности, в разработке стандарта аутентификации Universal 2nd Factor (U2F). Это третий стандарт, который появился в Альянсе FIDO, после Универсального второго фактора FIDO (UAF) и Универсальной системы аутентификации FIDO.
FIDO2 состоит из двух ключевых компонентов:
1) WebAuthn (Web Authentication) — стандарт W3C, который позволяет веб-сайтам использовать криптографическую аутентификацию.
2) CTAP (Client to Authenticator Protocol) — протокол, который позволяет устройствам (например, смартфонам или USB-ключам) взаимодействовать с браузером или операционной системой как аутентификаторы.
Основной целью FIDO2 является устранение использования паролей в Интернете. Он был разработан для внедрения открытых и лицензионно-свободных стандартов для безопасной беспарольной аутентификации в Интернете. Процесс аутентификации FIDO2 устраняет традиционные угрозы, связанные с использованием имени пользователя и пароля для входа в систему, заменяя их стандартом входа FIDO2. Таким образом, он защищает от распространенных онлайн-атак, таких, как фишинг и атаки типа man-in-the-middle.
Как работает FIDO2?#
Проверка подлинности без пароля FIDO2 обычно использует ключи доступа в качестве первого и основного фактора проверки подлинности учетной записи. Одним словом, когда пользователь регистрируется в веб-службе, поддерживаемой FIDO2, клиентское устройство, зарегистрированное для выполнения проверки подлинности, генерирует пару ключей, которая работает только для этого веб-приложения или веб-сайта.
Открытый ключ шифруется и передается службе, но закрытый ключ надежно остается на устройстве пользователя. Затем каждый раз, когда пользователь пытается войти в службу, служба представляет собой уникальную задачу для клиента. Клиент активирует устройство с ключом доступа, чтобы подписать запрос закрытым ключом и вернуть его. Это делает процесс криптографически защищенным от фишинга.
Регистрация (создание ключей):
1. Пользователь приходит на сайт, который поддерживает FIDO2.
2. Сайт запрашивает регистрацию нового устройства.
3. Аутентификатор (например, YubiKey или встроенный в смартфон модуль) генерирует уникальную пару ключей — публичный и приватный ключ.
4. Приватный ключ остаётся на устройстве, а публичный отправляется на сервер сайта.
5. Сервер сохраняет публичный ключ, связанный с этим пользователем.
Аутентификация (вход в аккаунт):
1. Пользователь возвращается на сайт и хочет войти.
2. Сайт отправляет запрос на подписание данных.
3. Устройство пользователя использует приватный ключ, чтобы подписать эти данные.
4. Подпись отправляется на сервер, и тот проверяет её с помощью публичного ключа, ранее сохранённого.
5. Если всё верно — вход разрешён.
Преимущества#
Наиболее значимым преимуществом аутентификации FIDO2 является то, что она уменьшает окно для атаки киберпреступников. Чтобы получить доступ к вашей конфиденциальной частной информации, злоумышленникам понадобится аутентификатор FIDO2, который физически всегда находится рядом с вами в виде вашего устройства или биометрических данных.
Если вы используете несколько сайтов, поддерживающих FIDO2, вы также получаете дополнительное преимущество в виде более упрощенного опыта, так как вам не нужно запоминать несколько логинов и паролей для каждой из ваших учетных записей. Ключ безопасности FIDO2 будет работать на всех поддерживаемых платформах, обеспечивая максимальную безопасность и удобство для пользователей.
FIDO2 против U2F#
Теперь, когда мы понимаем, как работает аутентификация FIDO2, полезно также сравнить FIDO2 с FIDO U2F, чтобы определить разницу. Самое существенное отличие между ними заключается в том, что первая была создана для того, чтобы позволить всей аутентификации стать беспарольной. FIDO U2F, наоборот, был разработан для использования в качестве второго фактора для паролей.
| Характеристика | U2F (Universal 2nd Factor) | FIDO2 |
|---|---|---|
| Год появления | 2014 | 2018 |
| Пароли | Требуется пароль | Может работать без пароля |
| Стандарты | U2F протокол | WebAuthn (W3C) + CTAP (FIDO) |
| Совместимость | Только с U2F-сайтами | Поддерживает и U2F, и FIDO2 |
| Привязка к сайту (origin) | Есть | Есть, с улучшенной защитой |
| Биометрия | Не поддерживается | Поддерживается |
| Многофакторность | Нет | Да (устройство + биометрия/пин) |
| Безопасность | Высокая | Ещё выше, благодаря расширенным опциям |
Passkeys#
Passkey — это более удобная реализация FIDO2, которая делает упор на облачную синхронизацию и кроссплатформенность. То есть, Passkey — это удобный пользовательский интерфейс и опыт(также встроенная возможность всех основных операционных систем и браузеров), основанный на стандартах FIDO2/WebAuthn.
Устройства FIDO2#
Устройства FIDO2 — это аппаратные или программные решения, поддерживающие стандарт аутентификации FIDO2, разработанный FIDO Alliance совместно с W3C. Аппаратные устройства также называют электронными ключами или FIDO2 ключами. Эти устройства обычно подключаются к компьютеру или смартфону через USB, NFC или Bluetooth.
Приобретать такие ключи мы советуем у швейцарской компании Token2. Продукты этого компании всегда отличаются отличным качеством и повышенной безопасностью. Кстати, FIDO2 ключи этого бренда на территории Азербайджана можно приобрести на SecurityKey.az
Топ-10 сервисов с поддержкой FIDO2#
Вот список 10 наиболее известных и широко используемых сервисов, которые поддерживают FIDO2 для входа без пароля или как часть двухфакторной аутентификации (2FA):