FIDO – jednoduchá, ale silná (webová) autentifikace

25. 5. 2018. (redaktor: František Doupal, zdroj: FIDO Alliance)
Bezpečnost dat hraje v dnešním světě stále důležitější úlohu a její implementace je v nejlepším zájmu každé firmy či instituce. Její uchopení však často není jednoduchou záležitostí, a proto se hodí každá pomoc. Jedním z nástrojů, který stojí za to v této souvislosti určitě znát, je platforma FIDO, jež pomůže s bezpečným přihlašováním k (webovým) službám a aplikacím.

Za platformou FIDO stojí zastřešující organizace, tzv. FIDO Alliance, která svými standardy a specifikacemi přináší interoperabilní ekosystém hardwarových, mobilních i biometrických autentifikačních prvků využitelných k bezpečnému přihlašování k aplikacím a webovým službám.

FIDO Alliance byla založena v roce 2012 s cílem vyřešit chybějící schopnost spolupráce mezi různými autentifikačními technologiemi a adresovat problémy uživatelů související s nutností vytvářet a pamatovat si velké množství nejrůznějších hesel. V současné má organizace přibližně 250 členů napříč obory a regiony. Pro použití s platformou FIDO je celosvětově certifikováno asi 400 produktů. Na kompletní seznam certifikovaných produktů se můžete podívat zde.

Mezi nejznámější představitele, kteří FIDO aktivně podporují, patří například Amazon, Intel, Lenovo, LG, Samsung, Google, Microsoft, PayPal, GitHub nebo Salesforce.

Ekosystém FIDO umožňuje nasadit silné autentifikační řešení, které umožňuje snížit závislost na klasických heslech a zvýšit tak obranyschopnost vůči phisingu, útokům typu man-in-the-middle, sociálnímu inženýrství, ztraceným heslům apod.

Passwordless UX (UAF)

FIDO rozlišuje dvě základní metody přihlašování. Při použití první metody, tzv. „passwordless FIDO“, nevyžaduje po první registraci následné zadávání hesla. Místo hesla uživatel pro ověření identity použije například gesto na displeji telefonu nebo se podívá do kamery. Využívá se pomoc protokolu Universal Authentication Framework (UAF), který umožňuje určit mechanismus ověření koncového uživatele. V případě potřeby však lze i v tomto případě pro ověření využít více prvků (například kombinaci otisku prstu a PINu).

  • Uživatel má klientské zařízení s nainstalovaným UAF klientem
  • Uživatel se přihlašuje lokálním biometrickým prvkem nebo PINem
  • Cílová služba nahradí heslo některým z výše zmíněných prvků

Second Factor UX (U2F)

Druhá metoda využívá dvoufaktorové přihlášení. Uživatel tedy musí standardně vypsat své přihlašovací jméno a heslo a to následně ještě doplnit dalším prvkem, například otiskem prstu, bezpečnostním klíčem nebo třeba přiložením NFC zařízení. Použitá hesla u jednotlivých služeb nemusí být tak silná a přesto lze dosáhnout vysoké úrovně zabezpečení. K fungování je využit protokol Universal Second Factor (U2F).

  • Uživatel má klientské zařízení s podporou prokolu U2F
  • Uživatel se musí autentifikovat pomocí dalšího U2F prvku
  • Přihlášení ke službě stačí potvrdit jednoduchým heslem (např. čtyřmístným PINem)

Jak FIDO funguje

Pro silnou autentifikaci FIDO využívá standardní veřejný kryptografický klíč. Nový pár klíčů je vytvářen vždy při registraci konkrétní online služby na uživatelově klientském zařízení. Vždy je tak vytvořen jeden privátní klíč (na zařízení) a veřejný klíč (pro službu či aplikaci). Uživatelův privátní klíč lze použít až po lokálním odemčení jeho zařízení. Biometrické informace podle autorů technologie přitom nikdy neopouštějí uživatelovo zařízení.

Čím se FIFO odlišuje?

Mezi základní myšlenky, které hráli při tvorbě technologie FIDO roli, patří jednoduchost, soukromí, bezpečnost a standardizace. Dříve se firmy a instituce při implementaci autentifikačních nástrojů potýkaly s nejrůznějšími proprietárními klienty a protokoly, což chtěli tvůrci FIDA změnit, a přinesly standardizované řešení nabízející transparentní technologie, klienty, vrstvy…

Štítky: 
Bezpečnost
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Nový tým Esetu se zaměří na mezinárodní kyberkriminalitu

6. 5. 2024. (redaktor: František Doupal, zdroj: Eset)
Bezpečnostní experti z pražské pobočky ESETu se nově cíleně zaměří na mezinárodní aktivity kyberkriminálních útočných skupin. Nově vzniklý tým vedený Jakubem Součkem má za úkol aktivně vyhledávat a dlouhodobě monitorovat obávané útoky ransomwarem, který dle dat společnosti ESET posílil v minulém roce o více než 50 procent. Čtěte více

Třetina zaměstnanců v práci sdílí hesla, otevírá neznámé přílohy nebo jinak ohrožuje bezpečnost

3. 5. 2024. (redaktor: František Doupal, zdroj: Anect)
Třetina českých zaměstnanců porušuje zásady bezpečného chování na internetu a své zaměstnavatele tak vystavuje zvýšenému riziku online podvodu nebo hackerského útoku. Lidé například navzájem sdílejí přihlašovací údaje do firemních systémů, zasílají pracovní dokumenty soukromým e-mailem či přes sociální sítě nebo k práci využívají neschválené soukromé počítače či telefony. Čtěte více

Počet DDoS útoků na české firmy roste druhý měsíc v řadě

3. 5. 2024. (redaktor: František Doupal, zdroj: ComSource)
Počty DDoS útoků na české firmy i jejich celková intenzita v březnu opět vzrostly. Oproti předcházejícímu měsíci dvojnásobně, ve srovnání se začátkem roku dokonce šestinásobně. Dostaly se tak přibližně na úroveň léta loňského roku. Trendem je přitom využívání stále kvalitnějších a efektivnějších útoků. Nejvíce útoků již od července loňského roku míří z Ruska. Čtěte více

Řešení HP Wolf Pro Security získalo vynikající hodnocení v AV-TESTu

3. 5. 2024. (redaktor: František Doupal, zdroj: HP Inc.)
Výzkumníci z AV-TESTu označili nové řešení HP Wolf Pro Security za „TOP Produkt“ pro ochranu koncových zařízení ve firmách. Studie výzkumného institutu v oblasti bezpečnosti IT AV-TEST potvrdila, že bezpečnostní software Wolf Pro Security od HP je jedním z nejlepších antivirových řešení pro firemní uživatele využívající platformu Windows na trhu. Čtěte více