FIDO – jednoduchá, ale silná (webová) autentifikace

25. 5. 2018. (redaktor: František Doupal, zdroj: FIDO Alliance)
Bezpečnost dat hraje v dnešním světě stále důležitější úlohu a její implementace je v nejlepším zájmu každé firmy či instituce. Její uchopení však často není jednoduchou záležitostí, a proto se hodí každá pomoc. Jedním z nástrojů, který stojí za to v této souvislosti určitě znát, je platforma FIDO, jež pomůže s bezpečným přihlašováním k (webovým) službám a aplikacím.

Za platformou FIDO stojí zastřešující organizace, tzv. FIDO Alliance, která svými standardy a specifikacemi přináší interoperabilní ekosystém hardwarových, mobilních i biometrických autentifikačních prvků využitelných k bezpečnému přihlašování k aplikacím a webovým službám.

FIDO Alliance byla založena v roce 2012 s cílem vyřešit chybějící schopnost spolupráce mezi různými autentifikačními technologiemi a adresovat problémy uživatelů související s nutností vytvářet a pamatovat si velké množství nejrůznějších hesel. V současné má organizace přibližně 250 členů napříč obory a regiony. Pro použití s platformou FIDO je celosvětově certifikováno asi 400 produktů. Na kompletní seznam certifikovaných produktů se můžete podívat zde.

Mezi nejznámější představitele, kteří FIDO aktivně podporují, patří například Amazon, Intel, Lenovo, LG, Samsung, Google, Microsoft, PayPal, GitHub nebo Salesforce.

Ekosystém FIDO umožňuje nasadit silné autentifikační řešení, které umožňuje snížit závislost na klasických heslech a zvýšit tak obranyschopnost vůči phisingu, útokům typu man-in-the-middle, sociálnímu inženýrství, ztraceným heslům apod.

Passwordless UX (UAF)

FIDO rozlišuje dvě základní metody přihlašování. Při použití první metody, tzv. „passwordless FIDO“, nevyžaduje po první registraci následné zadávání hesla. Místo hesla uživatel pro ověření identity použije například gesto na displeji telefonu nebo se podívá do kamery. Využívá se pomoc protokolu Universal Authentication Framework (UAF), který umožňuje určit mechanismus ověření koncového uživatele. V případě potřeby však lze i v tomto případě pro ověření využít více prvků (například kombinaci otisku prstu a PINu).

  • Uživatel má klientské zařízení s nainstalovaným UAF klientem
  • Uživatel se přihlašuje lokálním biometrickým prvkem nebo PINem
  • Cílová služba nahradí heslo některým z výše zmíněných prvků

Second Factor UX (U2F)

Druhá metoda využívá dvoufaktorové přihlášení. Uživatel tedy musí standardně vypsat své přihlašovací jméno a heslo a to následně ještě doplnit dalším prvkem, například otiskem prstu, bezpečnostním klíčem nebo třeba přiložením NFC zařízení. Použitá hesla u jednotlivých služeb nemusí být tak silná a přesto lze dosáhnout vysoké úrovně zabezpečení. K fungování je využit protokol Universal Second Factor (U2F).

  • Uživatel má klientské zařízení s podporou prokolu U2F
  • Uživatel se musí autentifikovat pomocí dalšího U2F prvku
  • Přihlášení ke službě stačí potvrdit jednoduchým heslem (např. čtyřmístným PINem)

Jak FIDO funguje

Pro silnou autentifikaci FIDO využívá standardní veřejný kryptografický klíč. Nový pár klíčů je vytvářen vždy při registraci konkrétní online služby na uživatelově klientském zařízení. Vždy je tak vytvořen jeden privátní klíč (na zařízení) a veřejný klíč (pro službu či aplikaci). Uživatelův privátní klíč lze použít až po lokálním odemčení jeho zařízení. Biometrické informace podle autorů technologie přitom nikdy neopouštějí uživatelovo zařízení.

Čím se FIFO odlišuje?

Mezi základní myšlenky, které hráli při tvorbě technologie FIDO roli, patří jednoduchost, soukromí, bezpečnost a standardizace. Dříve se firmy a instituce při implementaci autentifikačních nástrojů potýkaly s nejrůznějšími proprietárními klienty a protokoly, což chtěli tvůrci FIDA změnit, a přinesly standardizované řešení nabízející transparentní technologie, klienty, vrstvy…

Štítky: 
Bezpečnost
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Kybernetické trendy pro rok 2025: Zločinecké kouřové clony a demokratizace kyberútoků

23. 12. 2024. (redaktor: František Doupal, zdroj: Sophos)
Co bude rok 2025 znamenat pro naši kybernetickou bezpečnost? Které kybernetické útoky jsou stále častější a jakou roli zde hraje umělá inteligence? Chet Wisniewski, technický ředitel společnosti Sophos, shrnuje poznatky z roku 2024, z nichž bychom se měli poučit a připravit se na rok 2025. Čtěte více

Boris Hlinka (Synology): Partneři oceňují náš provázaný ekosystém

27. 11. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
S Borisem Hlinkou, produktovým manažerem společnosti Synology pro Českou republiku a Slovensko, jsme hovořili nejen o novinkách v portfoliu tohoto výrobce. Kromě samotných produktů jsme se zaměřili také na důležitost komplexního ekosystému, rostoucí roli modelu SaaS, význam doplňkových služeb nebo dnes všudypřítomnou umělou inteligenci. Čtěte více

Zuzana Švecová (Cisco): Dívejte se na bezpečnost očima koncového zákazníka

19. 11. 2024. (redaktor: Michala Benešovská, zdroj: DCD Publishing)
Zuzana Švecová je od září novou generální ředitelkou české pobočky společnosti Cisco. V rozhovoru jsme probrali nejen její jedenáctileté působení ve firmě, ale i priority v nové roli či technologické novinky v portfoliu Cisco. Čtěte více

Patrick Müller (Sophos): Budoucnost je ve spravovaných službách

10. 10. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
S Patrickem Müllerem, senior channel manažerem společnosti Sophos, jsme hovořili o aktuálním dění v oblasti kybernetické bezpečnosti. V rozhovoru se můžete dočíst nejen o aktuálních trendech v segmentu cyber security, ale také o příležitostech, které vám v kombinaci s produkty a službami společnosti Sophos přináší. Čtěte více