תקן FIDO
תקן FIDO (קיצור של Fast IDentity Online) הושק ב-2013 במטרה לקדם סטנדרט מאובטח, שעיקרו הקטנה או ביטול התלות בססמאות לצורכי אימות והזדהות.
ארכיטקטורת האימות של FIDO מקטינה את החיכוך שחווה המשתמש בתהליך הלוגין (כגון שכחה או טעות בהקלדת ססמה), מקטינה משמעותית את איומי הסייבר מתקיפות פישינג ומפחיתה את סיכוני הפגיעה בפרטיות על ידי הימנעות מאחסון מידע ביומטרי של המשתמשים בשרתי הארגונים.
בארגון FIDO שותפות חברות גלובליות כגון PayPal, Google, Microsoft, eBay, Facebook, Alibaba, חברות מובילות מתחום כרטיסי האשראי, הבנקאות, הטלקום ועוד, וכן גופים פדרליים שונים. מטה FIDO Alliance ממוקם בקליפורניה, ארצות הברית.
סקירה
תפיסת ההפעלה של FIDO מבוססת על שימוש בהתקני אימות מאובטחים הנמצאים ברשות המשתמש. לדוגמה סורק טביעת אצבע או מצלמה בסמארטפון, התקן אימות מובנה במחשב נייד או התקן לביש. היתרון בכך הוא שניתן להקל או לבטל את הצורך בשימוש בססמה כדי ליצור חיבור מאובטח לאתר, לאפליקציה או למחשב. הנתונים האישיים והמפתחות הפרטיים נשמרים אצל המשתמש ונשארים בבעלותו ולפיכך אינם מאוחסנים בשרתים ארגוניים או ציבוריים. בנוסף ארכיטקטורת FIDO מאפשרת תאימות בין תהליכי האימות של מערכות שונות (interoperability).
FIDO תומך במגוון של טכנולוגיות אימות, כולל ביומטריה כגון טביעת אצבע, זיהוי קשתית, זיהוי קולי וזיהוי תווי פנים, ופתרונות סטנדרטיים ותקניים כדוגמת רכיב אבטחת חומרה TPM, טוקן אבטחה USB, רכיב אבטחה משובץ (eSE), כרטיסים חכמים ותקשורת טווח אפס (NFC). כיום תקן FIDO נתמך בדפדפנים (Chrome, Firefox ובאמצעות Webkit בספארי) באנדרואיד, במערכת ההפעלה Windows 10 ועוד [1].
FIDO מגדיר שלושה מפרטים טכניים לאימות משתמש המאפשרים אימוץ חלקי או מלא של התקן (נכון לאוקטובר 2019)[2].
- Universal Second Factor פקטור אוניברסלי שני (FIDO U2F) - שימוש בפקטור שני כדוגמת טוקן אבטחה שמזוהה דרך USB, NFC או BLE בנוסף לקוד המשתמש והססמה. U2F מאפשר לפשט את הססמה (לקוד של 4 ספרות לדוגמה) מבלי להתפשר על רמת האבטחה.
- Universal Authentication Framework מסגרת אימות אוניברסלית (FIDO UAF) - מאפשרת אימות ללא ססמה באמצעות רישום של מכשיר אימות אישי כגון סמארטפון לשירות האימות של FIDO. האימות מבוצע לרוב באמצעים ביומטריים הנשמרים מקומית. מפרט זה מאפשר גם שימוש משולב של PIN קוד יחד עם אמצעי ביומטרי.
- FIDO2 הושק ב 2018 וכולל שלושה מפרטים. שניים מתוכם UAF, CTAP הוכרו על ידי ITU כסטנדרט בינלאומי [3]:
- (Web Authentication (W3C WebAuthn - סטנדרט של API אינטרנטי הקיים בדפדפנים ובפלטפורמות התומכות בתקן FIDO[4].
- (Client to Authenticator Protocol (CATP2 - מאפשר שימוש בהתקני אימות ששייכים למשתמש כגון סמארטפון או טוקן אבטחה, כדי לבצע לוגין באמצעות דפדפנים או מערכות הפעלה תומכי FIDO2. מפרט זה מאפשר הזדהות ללא ססמה, כפקטור שני (2FA) או כפקטור נוסף לחיזוק הזדהות (MFA).
- CTAP1 - השם החדש של מפרט U2F המתואר לעיל.
תהליך האימות
בעת רישום המשתמש (Sign up) לשירות FIDO, נוצר זוג מפתחות במכשיר המשתמש. המפתח הציבורי נשלח לשרת והמפתח הפרטי מאוחסן בצורה מאובטחת בהתקן האימות (FIDO Authenticator). הגישה להתקן האימות מבוצעת מקומית באמצעים ביומטריים (לדוגמה, סריקה של איריס או טביעת אצבע), באמצעות טוקן אבטחה כגון USB, NFC ,Bluetooth או בשיטות אחרות.
בתהליך ההזדהות (Log in), התקן האימות של FIDO מצפין את בקשת השרת באמצעות המפתח הפרטי שמאוחסן אצלו, ושולח לשרת תשובה מוצפנת. השרת יכול כעת לבדוק ולאמת את האותנטיות של המשתמש באמצעות המפתח הציבורי שמוחזק אצלו.
חברי ארגון FIDO
FIDO הושקה ב 2012 על ידי Agnitio, Infineon, Lenovo, Nok Nok Labs, PayPal ו- Validity Sensors[5].
בסוף 2014 הארגון כלל בין 150 החברות את Alibaba Group, Bank of America, Blackberry, Google Inc., MasterCard, Microsoft, NXP Semiconductors, Oberthur, Qualcomm, RSA Security, Samsung, Synaptics, Visa Inc.
בשנת 2019 קיימות בארגון FIDO יותר מ 260 חברות, רובן גלובליות. רשימה מלאה זמינה באתר הרשמי [6].
מפרטים
ניתן לקבל את המפרטים הפתוחים מאתר FIDO[7].
הערות שוליים
- ^ FIDO® Certified, FIDO Alliance (באנגלית)
- ^ Specifications Overview, FIDO Alliance (באנגלית)
- ^ FIDO Alliance Specifications Now Adopted As ITU International Standards, FIDO Alliance, 2018-12-18 (באנגלית)
- ^ FIDO2: Web Authentication (WebAuthn), FIDO Alliance (באנגלית)
- ^ History of FIDO Alliance, FIDO Alliance (באנגלית)
- ^ FIDO Alliance Member Companies & Organizations, FIDO Alliance (באנגלית)
- ^ Download Specifications, FIDO Alliance (באנגלית)
