FIDO2 to globalny standard uwierzytelniania opracowany przez konsorcjum FIDO, a następnie zatwierdzony przez W3C (World Wide Web Consortium). WebAuthn jest jednym z dwóch głównych składników, które wraz z protokołem Client to Authenticator Protocol (CTAP) tworzą standard FIDO2. Od drugiej połowy 2019 roku standard FIDO2 umożliwia użytkownikom wykorzystanie czytników biometrycznych wbudowanych w komputery, smartfony czy tablety. Standard FIDO2 jest znakomitą alternatywą dla tradycyjnych metod uwierzytelniania, takich jak loginy i hasła, i w niedalekiej przyszłości ma szansę wprowadzić nas w przyszłość bez haseł (passwordless), w której uwierzytelniać się będziemy metodami nie bazującymi na współdzielonym sekrecie – haśle.
Standard FIDO2 powstał jako odpowiedź branży cyberbezpieczeństwa na globalny problem haseł rozwiązując jednocześnie wszystkie problemy związane z tradycyjnym uwierzytelnianiem:
Uwierzytelnianie bazujące na kryptografii sprawia, że dane uwierzytelniające są unikalne dla każdej witryny, nigdy nie opuszczają urządzenia użytkownika i nigdy nie są przechowywane na serwerze. Taki model bezpieczeństwa eliminuje ryzyko phishingu oraz wszelkich form kradzieży haseł i ataków typu replay.
Uwierzytelnianie kryptograficzne następuje przy wykorzystaniu urządzeń wykorzystywanych codziennie – telefonów i laptopy z czytnikami linii papilarnych lub czytnikami twarzy. Osoby nie posiadające smartfonów lub te które nie chcą wykorzystywać urządzeń prywatnych w celu uwierzytelniania mogą skorzystać z łatwych w użyciu kluczy bezpieczeństwa FIDO. Klucze te wymagają jedynie włożenia ich do portu USB i naciśnięcia guzika w celu potwierdzenia swojej tożsamości. Standard FIDO2 pozwala na wybór urządzenia, które najbardziej odpowiada potrzebom konsumenta.
Ponieważ uwierzytelnienie kryptograficzne oparte o standard FIDO2 jest unikalne dla każdej witryny internetowej, nie pozwala na śledzenie użytkowników w różnych witrynach. Ponadto dane biometryczne (odcisk palca czy rozpoznawanie twarzy), nigdy nie opuszczają urządzenia użytkownika.
Witryny internetowe mogą uruchomić uwierzytelnianie FIDO2 za pomocą prostego wywołania interfejsu API JavaScript, obsługiwanego we wszystkich wiodących przeglądarkach internetowych i platformach na miliardach urządzeń codziennie wykorzystywanych przez konsumentów.
Jeśli mowa jest o uwierzytelnianiu zawsze wszystkie drogi prowadzą do haseł i ich zawodności. Największym problemem związanym z hasłami jest ich przewidywalność. Często bardzo łatwo je odgadnąć, co sprawia, że są podatne na ataki typu spray. Ataki tego rodzaju polegają na próbie zastosowania często używanych haseł na dużej liczbie kont z nadzieją, że w którymś przypadku hasło będzie poprawne. Nie jest to zbyt wyszukana metoda, gdyż wiele zależy od szczęścia. Niestety, wiele kont jest chronionych słabymi hasłami i cyberprzestępcom często udaje się uzyskać do nich dostęp właśnie za sprawą ataków spray.
Innym typem często stosowanego ataku jest atak brute force. Dużo łatwiej go rozpoznać i mu zapobiec, gdyż cyberprzestępcy próbują podejścia siłowego, co oznacza nieprzerwane próby przejęcia danego konta. Dzięki temu administratorzy sieci mają więcej czasu na wykrycie podejrzanej aktywności.
Kolejną wadą haseł jest fakt, że są „współdzielonym sekretem”. Oznacza to, że w najlepszym przypadku hasło jest zawsze znane zarówno użytkownikowi, jak i stronie ufającej. Strona ufająca to coś, co chroni dostępu do zasobów, z których chce skorzystać użytkownik, a więc innymi słowy – aplikacja. Aplikacje zapewniają użytkowników, że będą przechowywać ich dane w bezpieczny sposób, jednakże należy pamiętać, że bazy danych zawierające hasła są każdego dnia kradzione i sprzedawane. Dane logowania użytkownika są sprzedawane w Dark Web, więc cyberprzestępcy mogą je po prostu kupić bez żadnego wysiłku.
Następnym problemem związanym z hasłami jest phishing – atak wykorzystujący techniki inżynierii społecznej, którego celem jest skłonienie ofiary do dobrowolnego przekazania wrażliwych informacji. Atak tego rodzaju może przyjąć formę wiadomości e-mail od banku, dostawcy usług internetowych lub przełożonego z prośbą o wykonanie czynności, która wydaje się całkowicie rozsądna i logiczna, lecz w istocie jest cyberatakiem. Chociaż ludzie na ogół uważają, że nie jest łatwo wywieść ich w pole, to skuteczność omawianej metody zdaje się wskazywać na coś innego. Dobrze zaplanowane ataki phishingowe mogą oszukać nawet pracowników branży IT.
Wszyscy specjaliści ds. bezpieczeństwa są zgodni co do jednego. Należy edukować użytkowników w zakresie używania haseł i sposobów zwiększania bezpieczeństwa cybernetycznego na poziomie osobistym. Hasła można łatwo złamać. Tym samym uwierzytelnianie wieloskładnikowe (MFA) lub uwierzytelnianie dwuskładnikowe (2FA) są absolutnie konieczne, aby mieć pewność, że zasoby internetowe są odpowiednio chronione.
Uwierzytelnianie wieloskładnikowe jest w stanie wyeliminować większość przypadków logowania się za pomocą wykradzionych danych, gdyż zapewnia dodatkową ochronę i zabezpiecza proces uwierzytelniania przed atakami typu spray i innymi. Wystarczy nawet korzystanie z najbardziej podstawowego i dość starego podejścia MFA opartego na wiadomościach SMS, aby zapewnić ten stopień ochrony.
W przypadku kont o dużej wartości warto rozważyć wdrożenie bardziej zaawansowanego MFA, które wykorzystuje aplikacje uwierzytelniające i powiadomienia push w wiadomościach email.
Większość metod uwierzytelniania obarczonych jest pewnymi wadami i niebezpieczeństwami. Użytkownicy mogą na przykład przyzwyczaić się do akceptowania powiadomień push i przestać sprawdzać ich treść. Tym samym łatwo o nieumyślne zaakceptowanie prośby o logowanie wysłanej z urządzenia cyberprzestępcy, który w ten sposób pokona MFA.
Uwierzytelnianie oparte o standard FIDO2 chroni użytkownika przed cyberprzestępcą ale także przed samym sobą. Nie pozwala ono bowiem na przekazanie tożsamości przestępcy nawet jeśli użytkownik sam (nieświadomie) chciałby to zrobić, co może zdarzyć się w przypadku uwierzytelniania opartego o SMSy lub hasła TOTP.
Klucze kryptograficzne U2F (przodek standardu FIDO2) wprowadzone zostały w korporacji Google dla wszystkich ponad 85 tysięcy użytkowników i od tego czasu nie odnotowano ani jednej udanej próby wrogiego przejęcia konta użytkownika.
Secfense User Access Security Broker umożliwia korzystanie z dowolnej metody Multi-Factor Authentication w dowolnej aplikacji. Ale gdy jesteśmy proszeni o radę, zawsze wspominamy o FIDO2 i sugerujemy naszym klientom zapoznanie się z tym standardem. FIDO2 to najbezpieczniejszy i najwygodniejszy sposób korzystania z ochrony MFA. FIDO2 to także najlepszy sposób na wykorzystanie mikroautoryzacji, funkcjonalności brokera Secfense, która pozwala na dodanie dodatkowych wymagań uwierzytelniania w dowolnym miejscu aplikacji. Poniżej znajduje się film, w którym można zobaczyć, jak działa FIDO2 i jak można go wdrożyć i skalować w aplikacjach internetowych z użytkownikiem brokera bezpieczeństwa Secfense.
Możesz umówić się na rozmowę telefoniczną z nami poniżej.