Dobra wiadomość dla cyberbezpieczeństwa – Apple w końcu dołączył do FIDO Alliance

Secfense meta 2a

Wstęp

Apple Inc., gigant technologiczny, nie zawsze dokonywał właściwych wyborów. Mimo to dzisiaj jest niewątpliwym gigantem technologicznym, który wiele startupów stawia sobie za wzór, a nowoczesne firmy technologiczne idealizują. Ta krótka opowieść mówi o technologii, którą w pierwotnej formie Apple odrzuciło, żeby po paru latach przyjąć w formie standardu FIDO2, technologii, mającej potencjał, aby zmienić przyszłość uwierzytelniania.

Wiele lat temu Authentec była bardzo szybko rozwijającą się firmą. Firma zaczęła od zaspokajania podstawowych i rosnących potrzeb cyberświata: bezpieczeństwa w sieci. Authentec był częścią porozumienia FIDO (Fast Identity Online Alliance). Sojusz powstał z naciskiem na przyszłe potrzeby cyberbezpieczeństwa. Ideą FIDO Alliance było stworzenie najnowocześniejszego otwartego standardu uwierzytelniania w sieci, który będzie używany jako standard dla wszystkich aplikacji internetowych, które zostaną opracowane w przyszłości.

Porozumienie FIDO

FIDO Alliance ma na celu służenie misji opracowywania nowoczesnych standardów uwierzytelniania, aby pomóc w uniezależnieniu się od haseł. FIDO to otwarte stowarzyszenie branżowe. Sojusz FIDO wspiera takie platformy internetowe jak choćby Microsoft, Google, Lenovo, Intel, Samsung, Infineon, NXP i wiele innych. Ponadto łączy ze sobą firmy bezpośrednio związane z cyberbezpieczeństwem i biometrią, takie jak Synaptic, nok nok, OneSpan, VMWare itp. FIDO Alliance odgrywa szczególnie istotną rolę w przypadku usług High Assurance, które obejmują główne instytucje finansowe, takie jak Alibaba.com, PayPal, MasterCard, VISA, Amazon, Bank of America i wiele innych.

FIDO Alliance Board Members
Członkowie zarządu FIDO Alliance

FIDO kładzie nacisk na jedną podstawową rzecz: prostsze i silniejsze uwierzytelnianie w sieci. Metody obejmują szyfrowanie za pomocą kryptografii klucza publicznego. Odporne na phishing uwierzytelnianie oparte na biometrii to jedna z najważniejszych rzeczy wprowadzonych w ramach sojuszu FIDO.

FIDO Alliance przechowuje informacje umożliwiającą identyfikację osób, takie jak dane uwierzytelniania biometrycznego na urządzeniu użytkownika, aby uczynić je zaufanym urządzeniem. Według najnowszych statystyk wyciek hasła jest główną przyczyną 80% naruszeń danych. Jedna trzecia zakupów w domenie online jest anulowana tylko dlatego, że użytkownik zapomniał hasła. Na świecie na ponad 90 milionów kont użytkowników aż 51% haseł jest ponownie wykorzystywanych na innych platformach i aplikacjach.

Rola FIDO

Misja stworzenia nowego standardu uwierzytelniania internetowego jest niezwykle ważna, ponieważ uwierzytelnianie musi ewoluować w silny system zapewniania weryfikacji tożsamości, który umożliwia użytkownikom lepsze odzyskiwanie kont. Innym wymaganiem najnowocześniejszego uwierzytelniania jest automatyczne bezpieczne logowanie urządzenia lub dołączanie w celu wyeliminowania konieczności podawania haseł z IoT. Wraz z nadejściem Internetu Rzeczy (Internet of Things, IoT) urządzenia są połączone wszędzie.

Ze względu na pojawiające się potrzeby w zakresie bezpieczeństwa IoT, obecnie niezbędne stało się zabezpieczanie urządzeń użytkowników zgodnie z modelem zorientowanym na urządzenie. Podobnie istnieje potrzeba w dziedzinie uwierzytelniania użytkowników, konwencjonalne podejście do hasła musi zostać zmienione, a dla urządzeń użytkowników należy przyjąć podejście passwordless, czyli uwierzytelniania bez hasłą. Według Gartnera do roku 2021 będzie 15 miliardów podłączonych urządzeń. Ta ogromna liczba używanych urządzeń nie tylko otwiera nowe obszary innowacji, ale także sprawia, że konieczne jest wynalezienie nowych sposobów ochrony tych urządzeń wśród pojawiających się trendów cyberbezpieczeństwa .

W ramach tej wizji, aby osiągnąć misję przyszłości bez haseł, FIDO utworzyło Techniczną Grupę Roboczą IoT. Grupa ta koncentruje się na różnych architekturach i specyfikacjach obejmujących profile atestacji/uwierzytelniania urządzeń IoT w celu zapewnienia lepszej interoperacyjności między dostawcami usług i urządzeniami IoT. Ponadto koncentruje się na automatycznym wdrażaniu, które służy do wiązania aplikacji i/lub użytkowników z urządzeniami IoT. Trzecią kwestią, na której skupia się FIDO, są inteligentne routery i koncentratory IoT, które ułatwiają uwierzytelnianie i udostępnianie urządzeń IoT.

FIDO powstało początkowo dla kilku banków i instytucji finansowych, ale wraz z rosnącymi potrzebami uwierzytelniania urządzeń i cyberzagrożeniami czającymi się w całym Internecie, misja FIDO stała się marzeniem każdego użytkownika inteligentnych urządzeń w Internecie.

Posunięcie Apple i jego wpływ na standard FIDO

Apple będąc liderem w branży komputerów i innych inteligentnych urządzeń, również musi sięgać po najlepsze rozwiązania z branży. Apple chcąc pozostać na szczycie krzywej w dziedzinie uwierzytelniania internetowego pierwotnie chciało osiągnąć to samodzielnie. Dlatego też zdecydowało się opuścić FIDO po przejęciu firmy Authentec i kontynuowało walkę o osiągnięcie mechanizmu uwierzytelniania bez hasła samemu.

Informacja o tym, że Apple przejęło Authentec za 356 milionów dolarów było dobrą wiadomością dla małej firmy Authentec, ale nie dobrą wiadomością dla porozumienia FIDO. Firma Authentec była jednym z pierwszych, którzy przyczynili się do osiągnięcia jednej metody uwierzytelniania opartego na sieci Web, która mogłaby stać się standardem branżowym. Przejęcie Authentec przez Apple spowolniło więc postęp misji FIDO.

Apple przejęło Authentec w 2012 roku
Apple przejęło Authentec w 2012 roku

Apple planowało samodzielne wdrożenie standardu uwierzytelniania w sieci. Ta decyzja zaskoczyła wielu i wywołała falę krytyki. FIDO jednak nadal się rozwijało i wciąż dążyło do stworzenia środowiska dla łatwego uwierzytelniania w sieci bez użycia haseł. Nawet bez Authentec, FIDO rozwijało się dalej, aż w połowie 2019 r. zmieniło się w FIDO2 publikującnajwiększe osiągnięcie uwierzytelniania czyli: WebAuthn. Tym samym FIDO osiągnęło to, do czego dążyło od 2012 roku. Po 7 latach marzenie w końcu stało się rzeczywistością. WebAuthn wszedł w życie.

Wprowadzenie standardu FIDO2 w połowie 2019 roku było ogromną sprawą

Dzięki WebAuthn osiągnięto rozwiązanie kryptograficzne z kluczem publicznym i powstał standardowy interfejs do uwierzytelniania użytkowników w sieci.

Istnieje wiele sposobów implementacji WebAuthn po stronie klienta. W rdzeniu wprowadzono podstawowy token uwierzytelniający. Authenticator to abstrakcyjny model funkcjonalny, który zajmuje się zarządzaniem kluczowymi materiałami. W ten sposób WebAuthn można zaimplementować wyłącznie w oprogramowaniu za pomocą środowiska wykonawczego procesora lub modułu Trusted Platform Module (TPM).

FIDO2 jest następcą oryginalnego starszego protokołu FIDO Universal 2nd Factor (U2F) i pojawił się jako nowy standard branżowy. Ma dwie możliwości realizacji. Każdy programista może zaimplementować tryb jednoskładnikowy lub tryb wieloskładnikowy. W trybie jednoskładnikowym, uwierzytelniający sprawdza obecność użytkownika, a w trybie wieloskładnikowym, uwierzytelniający bierze pod uwagę kilka kroków weryfikacji przed uwierzytelnieniem, takim jak weryfikacja biometryczna za pomocą głosu, odcisku palca lub skanu siatkówki. Uwierzytelnianie wieloskładnikowe opiera się zasadniczo na dwóch rzeczach: czymś, co użytkownik wie i czymś, co użytkownik ma. Podczas gdy pierwsza jest zapamiętywanym sekretem (hasłem), druga obejmuje dane biometryczne.

W normalnym przepływie zdarzeń WebAuthn wymaga witryny sieci Web, która jest zgodna ze stroną uzależnioną WebAuthn, przeglądarki, która jest zgodnym klientem WebAuthn, oraz uwierzytelniania, który jest uwierzytelniającym FIDO2. Wprowadzenie tak prostej implementacji, a jednocześnie tak potężnego backendu poruszyło domenę bezpieczeństwa w cyberświecie.

Prowadzi to do kolejnej ważnej wiadomości w pierwszym kwartale 2020 r.: Apple dołącza do projektu Porozumienia FIDO aby razem rozwijać standard FIDO2 i dołącza do obecnych już w porozumieniu członków takich jak Microsoft, Google czy VMware. Apple próbowało promować podobne do FIDO możliwości uwierzytelniania wśród swoich urządzeń, takich jak Face ID i Touch ID. Po dołączeniu do organizacji FIDO firma Apple udostępniła możliwość korzystania z kluczy bezpieczeństwa zgodnych z FIDO, takich jak YubiKey, których można używać do uwierzytelniania usług internetowych w Safari od systemu iOS 13.3 w górę.

Protokoły zaprojektowane w FIDO chronią prywatność użytkowników i są projektowane od podstaw. Proces rejestracji i uwierzytelniania przebiega dość płynnie. Użytkownik jest proszony o wybranie dostępnego uwierzytelniacza, a następnie odblokowuje go za pomocą przycisku na urządzeniu drugiego składnika, czytniku linii papilarnych; bezpiecznie wprowadzony kod PIN lub jakakolwiek innej metody. Urządzenie tworzy następnie nową parę kluczy publiczny/prywatny dla usługi online, urządzenia lokalnego i konta użytkownika. Na koniec wygenerowany klucz publiczny jest teraz wysyłany do usługi online i tym samym powiązany z kontem użytkownika. Klucz prywatny i dowolna lokalna metoda uwierzytelniania pozostają w urządzeniu.

Uwierzytelnianie bez haseł: przyszłość uwierzytelniania

Koncepcja przejścia do uwierzytelniania bez hasła oznacza, że sojusz FIDO jest zaangażowany w dostarczanie zaufanych urządzeń, w których nie ma potrzeby posiadania hasła. Logika kryjąca się za brakiem hasła polega na tym, że hasła są łatwe do zapomnienia, a także łatwe do uzyskania przez przestępców w przypadku naruszenia danych. Wraz ze wzrostem cyberzagrożeń, zwłaszcza naruszeń danych, hasła nie są już bezpiecznym sposobem uwierzytelniania. Wraz ze wzrostem liczby urządzeń opartych na IoT, trwałe bezpieczeństwo urządzeń i aplikacji jest ogromnym wyzwaniem.

FIDO przewidziało to na czas i dlatego rozpoczęło pracę nad przyszłością uwierzytelniania: WebAuthn. Uwierzytelnianie bez hasła instynktownie może wydawać się mało bezpieczne, ale w rzeczywistości jest to najwyższy poziom bezpieczeństwa, jaki może zaoferować każde urządzenie. Urządzenie „wchodzi w rolę” użytkownika korzystającego z tego urządzenia, a zatem nie wymaga żadnego innego uwierzytelniania opartego na tekście i symbolach.

W typowym scenariuszu, jeśli konto jest podłączone do wielu urządzeń, a użytkownik zgubi hasło lub zapomni, będzie musiał zaktualizować hasło do konta na każdym urządzeniu. Dzięki WebAuthn użytkownik jest w stanie uwierzytelnić wiele witryn zalogowanych z zaufanego urządzenia. Na przykład osoba może zalogować się do usługi YouTube za pomocą iPhone’a.

Dołączenie Apple do FIDO w 2020 roku to ogromna rzecz, która legitymizowała i uzasadniała misję tego porozumienia. Była to nie tylko wielka wiadomość dla branży technologicznej, ale także duży krok dla samego Apple.

Apple ma własne podejście do innowacji. Zazwyczaj proponują własne rozwiązanie lub własne standardy. Apple dołączyło do Sojuszu, ponieważ poczuło presję, by do niego dołączyć. FIDO miało wystarczająco dużo rozpędu, że Apple nie mogło już prześcignąć go swoimi własnymi standardami.

Apple zdało sobie sprawę, że nie może samodzielnie konkurować ze wszystkimi innymi członkami porozumienia FIDO i dalej walczyć o swój własny standard uwierzytelniania. Teraz, gdy Apple jest na pokładzie porozumienia, misja sojuszu FIDO, aby wszyscy czołowi producenci rozwiązań oferowanych w sieci zaimplementowali uwierzytelnianie FIDO2 została osiągnięta. Teraz wszyscy użytkownicy urządzeń inteligentnych mogą bezproblemowo logować się z wielu platform, na przykład smartfona z systemem Android, przeglądarki Chrome, iPada, tabletu z systemem Android, komputera z systemem Windows, komputera Mac lub dowolnego innego zaufanego urządzenia.

Teraz, gdy Apple jest na pokładzie z innymi, prace nad koncepcją bez hasła mogą iść znacznie dalej.

Jak standard FIDO2 zmieni przyszłość uwierzytelniania?

Dzięki podejściu passwordless walka o tworzenie silniejszych haseł i innych metod uwierzytelniania może wkrótce przestać mieć znaczenie. Klucze publiczne i prywatne w połączeniu z uwierzytelnianiem biometrycznym na urządzeniach lokalnych to duży skok, podobnie jak pierwszy krok na Księżycu.

Gdyby połączenie z FIDO nastąpiło kilka lat wcześniej, WebAuthn mogłoby pojawić się wcześniej. Wraz ze wzrostem liczby cyberataków, takich jak naruszenia danych i kradzież tożsamości, rośnie zapotrzebowanie na bezpieczeństwo urządzeń. Przyszłość bez haseł to najlepsza możliwa przyszłość i jedyny właściwy kierunek jaki powinna obrać branża internetowa.

Antoni takes care of all the marketing content that comes from Secfense. Czytaj więcej

Referencje

Każdego dnia stajemy przed coraz to nowymi wyzwaniami. Musimy być stale o krok przed atakującymi, przewidywać ich działania. W technologii User Access Security Broker dostrzegliśmy rozwiązanie, które zapewnia nowy poziom bezpieczeństwa zarówno przy pracy z biura, jak i z domu. Współpracę z Secfense postrzegamy jako szansę na dzielenie się naszym doświadczeniem w ramach rozwiązania, którego twórcy są świadomi znaczenia nieszablonowego myślenia.

Krzysztof Słotwiński

Dyrektor Pionu Bezpieczeństwa i Zarządzania Ciągłością Działania

Bank BNP Paribas Polska

W ramach analizy przedwdrożeniowej zweryfikowaliśmy, że użytkownicy korzystają z bardzo różnych platform klienckich: komputerów stacjonarnych, laptopów, tabletów, smartfonów i tradycyjnych telefonów komórkowych. Każde z tych urządzeń różni się zaawansowaniem technologicznym i funkcjami, a także poziomem zabezpieczeń. Z uwagi na to, a także ze względu na rekomendację KNF zdecydowaliśmy się na wprowadzenie dodatkowej ochrony w postaci mechanizmów uwierzytelniania wieloskładnikowego opartego na FIDO. Dzięki temu użytkownicy naszych aplikacji mogą się do nich bezpiecznie logować, unikając popularnych cyberzagrożeń – phishingu, przejęcia konta oraz kradzieży danych swoich i klientów.

Marcin Bobruk

Prezes Zarządu

Sandis

Cieszymy się, że możemy współpracować z Secfense w celu zwiększenia bezpieczeństwa dostępu użytkowników do naszych aplikacji internetowych. Integrując ich brokera bezpieczeństwa dostępu użytkowników, zapewniamy bezproblemową i bezpieczną ochronę naszych aplikacji i systemów, zapewniając naszym klientom najwyższy poziom bezpieczeństwa i wygody.

Charm Abeywardana

IT & Infrastructure

Visium Networks

Przed inwestycją w Secfense mieliśmy okazję porozmawiać z jej dotychczasowymi klientami. Ich reakcje były jednomyślne: to takie proste w użyciu! Szczególne wrażenie zrobił na nas fakt, że wdrożenie Secfense nie wymaga zaangażowania programistów IT. Daje to ogromną przewagę nad konkurencją, a jednocześnie otwiera drzwi potencjalnym klientom, którzy do tej pory bali się zmian związanych z wdrażaniem rozwiązań uwierzytelniania wieloskładnikowego.

Mateusz Bodio

Dyrektor Zarządzający

RKKVC

Jednym z największych wyzwań, przed którymi stoi dziś świat, jest zabezpieczenie naszej tożsamości online – mówi Stanislav Ivanov, partner założyciel w Tera Ventures. – Dlatego tak bardzo zależało nam na tym, aby Secfense znalazł się w naszym portfolio. Firma umożliwia wprowadzenie silnego uwierzytelniania w sposób zautomatyzowany. Do tej pory organizacje musiały selektywnie chronić aplikacje, ponieważ wdrożenie nowej technologii było bardzo trudne, a nawet niemożliwe. Dzięki Secfense implementacja uwierzytelniania wieloskładnikowego nie stanowi już problemu, a wszystkie organizacje mogą korzystać z najwyższych standardów bezpieczeństwa.

Stanislav Ivanov

Partner i współzałożyciel

Tera Ventures

Nawet jeśli sieć i infrastruktura są wystarczająco zabezpieczone, socjotechnika i skradzione hasła mogą zostać wykorzystane do przejęcia kontroli przez atakujących. Uwierzytelnianie wieloskładnikowe (MFA) to aktualny trend. Secfense rozwiązuje problem trudnej implementacji MFA i umożliwia zbudowanie polityk bezpieczeństwa w organizacji opartej na modelu zero trust i bez stosowania hasła.

Eduard Kučera

Partner

Presto Ventures

Wiadomo, że uwierzytelnianie dwuskładnikowe jest jednym z najlepszych sposobów ochrony przed phishingiem, jednak jego implementacja zawsze jest trudna. Secfense jako broker zabezpieczeń pomógł nam rozwiązać problem z wdrożeniem. Udało nam się od razu wprowadzić różne metody 2FA do pracy z naszymi aplikacjami.

Dariusz Pitala

Dyrektor Działu IT, MPEC S.A.