FIDO: Да създадеш един свят без никакви пароли и с повече сигурност

9
1292

Бързината и удобството, които интернет ни предлага идват със своята цена. Прекалено много пароли. Прекалено. На имейла, на банкирането, на онлайн магазините, на социалните мрежи, за телевизията и за какво ли още не.

Знаете ли, че според някои данни, един потребител има средно около 90 онлайн акаунта

По принцип е редно всеки акаунт да е с отделна парола. Иначе сигурността се компрометира. Но да си го кажем, кой ще ползва 90 различни пароли за 90 различни акаунта? И отново има статистики, според които над половината от паролите на потребителите не са уникални, а се преизползват в други сайтове.

Данните са на алианса FIDO, отворена индустриална асоциация, която иска да направи света по-малко зависим от паролите

FIDO всъщност значи Fast IDentity Online – бърза онлайн самоличност. Целта е да се промени природата на удостоверяването на достъп. Чрез отворени стандарти, които са по-сигурни от паролите, по-прости за използване от потребителите и по-лесни за управление от доставчиците на различни онлайн услуги.

Организацията започва да съществува през 2012, като през 2013 е публично обявена. Оригиналните членове са Lenovo, PayPal, Nok Nok Labs, Validity Sensors, Infineon и Agnition. Като лидер в много отношения може да се обособи Lenovo.

В момента членовете на алианса са над 250. Сред тях се виждат имена като Microsoft, Intel, Google, Apple. Вече има и FIDO сертификация за продуктите, които отговарят на спецификациите. Един такъв продукт е Windows 10 например.

Кое е най-слабото място на паролите?

Най-вече, че те могат да се атакуват от много ъгли. Може да се атакува индивидуалния потребител, могат да се атакуват и цели онлайн услуги. Буквално няма потребител в Интернет, който да не е до някаква степен застрашен от пробив през паролата.

Хакерите атакуват цели бази от данни, в които има информация за милиони и милиарди потребители. Кое е нещото, което е уникално за всеки един човек и е много трудно за компрометиране? Да не кажа в повечето случаи невъзможно. Това са биометричните данни. Уникално и много трудно за пробиване може да е и криптирането, направено по правилна методика. За да се използват тези неща обаче трябва да има стандарт. Именно тук се появява FIDO. Освен стандарт, трябва да има технически спецификации. Трябва да има инструменти и процеси за надзор. Трябва да има съвместимост между различните услуги.

Това, което ме привлича най-много е, че проблемът с паролите е нещо, което на практика засяга всички. Наричаме го „проблем с паролите“, защото е публична тайна, че тя може да бъде атакувана по много различни начини – през потребителя, или през услугата. Ако вашата парола е слаба или нейната защита е слага, тя може да се атакува, или да се атакува като част от базата данни с пароли, от което е част. Joe Pennisi, инженер на Lenovo, лидер на PCSD Global Security Lab

Как точно FIDO елиминира нуждата от пароли?

Краткият отговор е асиметрични ключове за криптиране. Това са два ключа, които са свързани, но не са идентични. Единият криптира информацията, която се изпраща, а другият я декриптира. За справка, ако имаме хард диск с криптиране, при него един и същи ключ криптира и декриптира.

Идеята на FIDO е нашият компютър да има уникален частен ключ за всеки уебсайт, който ползваме. Онлайн услугата зад този уебсайт ще разполага с другия ключ, който е публичен. Тази публично-частна връзка е различна за всяка услуга и за всяко устройство.

Така дори дадено устройство да бъде хакнато, само един потребител ще е компрометиран. Ако хакнат даден уебсайт, хакерите ще се сдобият само с публичните ключове, но те нямат стойност. Освен това всяка двойка ключове е различна и уникална. Няма как да се засегнат други услуги паралелно.

Сертификацията на FIDO служи като уверение за потребителите и онлайн услугите, че устройствата са съвместими и ефективни в защитата на ключовете. От скоро има и биометрична сертификация, която ще удостоверява, че можем да се доверим на устройство, което управляваме с пръстовия си отпечатък, например.

Какво е FIDO2?

World Wide Web Consortium (W3C) и FIDO се обединяват, за да създадат стандарта FIDO2. Той е комбинация от няколко неща. От една страна е W3C спецификацията на Web Authentication (WebAuthn). От другата страна е CTAP на FIDO – Client to Authenticator Protocol. Благодарение на тях можем да получим възможност за безопасно удостоверяване в Интернет чрез телефона или лаптопа си.

При този метод нашите данни за идентификация не се съхраняват на сървър, където и да е. Използва се биометрично удостоверяване, което потвърждава нашата самоличност. Нищо не напуска собственото ни устройство. WebAuthn организира сигурната комуникация между браузъра и уеб услуга. А чрез CTAP ние използваме устройството си, за да „говорим“ с WebAuthn.

FIDO2 стандартът е съвместим и с все по-модерните хардуерни ключове, стига да са FIDO UAF или FIDO U2F базирани.

Ето графика как работи процеса

Какво още ще подобри FIDO в нашето ежедневие?

Освен върху паролите сами по себе си, алиансът разсъждава и върху други свързани направления. Да вземем предвид например възстановяването на парола за имейл. Какво ще се изиска от нас? Отговор на таен въпрос за името на първото ни куче или получаване на SMS, или използване на алтернативен имейл. Има прекалено много променливи и места, на които нещо да се обърка. Крайният резултат е, че или паролата може да се възстанови много лесно, включително и от трети лица, ако процесът е твърде опростен. Или да стане крайно трудно – до толкова, че дори можем да загубим акаунта си. Много често се случва за акаунти във Фейсбук например.

Същото се получава и с двуфакторното удостоверяване. Влизаме във Фейсбук и той иска да въведем код, който вадим от смартфон приложението или получаваме на SMS. В някои сайтове се използва имейл. Подходът не е достатъчно добър за времето, в което вече се намираме.

Нуждата от такива решения става все по-необходима и с увеличаването на популярността на IoT устройствата. Там нещата стават сериозни. Все повече неща от дома ни ще стават свързани помежду си и свързани с нас.

Лаптопите с FIDO

Като част от този проект лаптопите на Lenovo, които имат автентикация с пръстов отпечатък или разчитат на лицево разпознаване работят именно в принципите на тази технология. Повечето нови устройства на компанията, особено тези в бизнес сегмента разполагат с биометрична автентикация, следвайки тенденциите в сигурността на FIDO стандартите.

3 2 гласа
Оценете статията
Абонирай се
Извести ме за
guest
9 Коментара
стари
нови оценка
Отзиви
Всички коментари