FIDO – jednoduchá, ale silná (webová) autentifikace

25. 5. 2018. (redaktor: František Doupal, zdroj: FIDO Alliance)
Bezpečnost dat hraje v dnešním světě stále důležitější úlohu a její implementace je v nejlepším zájmu každé firmy či instituce. Její uchopení však často není jednoduchou záležitostí, a proto se hodí každá pomoc. Jedním z nástrojů, který stojí za to v této souvislosti určitě znát, je platforma FIDO, jež pomůže s bezpečným přihlašováním k (webovým) službám a aplikacím.

Za platformou FIDO stojí zastřešující organizace, tzv. FIDO Alliance, která svými standardy a specifikacemi přináší interoperabilní ekosystém hardwarových, mobilních i biometrických autentifikačních prvků využitelných k bezpečnému přihlašování k aplikacím a webovým službám.

FIDO Alliance byla založena v roce 2012 s cílem vyřešit chybějící schopnost spolupráce mezi různými autentifikačními technologiemi a adresovat problémy uživatelů související s nutností vytvářet a pamatovat si velké množství nejrůznějších hesel. V současné má organizace přibližně 250 členů napříč obory a regiony. Pro použití s platformou FIDO je celosvětově certifikováno asi 400 produktů. Na kompletní seznam certifikovaných produktů se můžete podívat zde.

Mezi nejznámější představitele, kteří FIDO aktivně podporují, patří například Amazon, Intel, Lenovo, LG, Samsung, Google, Microsoft, PayPal, GitHub nebo Salesforce.

Ekosystém FIDO umožňuje nasadit silné autentifikační řešení, které umožňuje snížit závislost na klasických heslech a zvýšit tak obranyschopnost vůči phisingu, útokům typu man-in-the-middle, sociálnímu inženýrství, ztraceným heslům apod.

Passwordless UX (UAF)

FIDO rozlišuje dvě základní metody přihlašování. Při použití první metody, tzv. „passwordless FIDO“, nevyžaduje po první registraci následné zadávání hesla. Místo hesla uživatel pro ověření identity použije například gesto na displeji telefonu nebo se podívá do kamery. Využívá se pomoc protokolu Universal Authentication Framework (UAF), který umožňuje určit mechanismus ověření koncového uživatele. V případě potřeby však lze i v tomto případě pro ověření využít více prvků (například kombinaci otisku prstu a PINu).

  • Uživatel má klientské zařízení s nainstalovaným UAF klientem
  • Uživatel se přihlašuje lokálním biometrickým prvkem nebo PINem
  • Cílová služba nahradí heslo některým z výše zmíněných prvků

Second Factor UX (U2F)

Druhá metoda využívá dvoufaktorové přihlášení. Uživatel tedy musí standardně vypsat své přihlašovací jméno a heslo a to následně ještě doplnit dalším prvkem, například otiskem prstu, bezpečnostním klíčem nebo třeba přiložením NFC zařízení. Použitá hesla u jednotlivých služeb nemusí být tak silná a přesto lze dosáhnout vysoké úrovně zabezpečení. K fungování je využit protokol Universal Second Factor (U2F).

  • Uživatel má klientské zařízení s podporou prokolu U2F
  • Uživatel se musí autentifikovat pomocí dalšího U2F prvku
  • Přihlášení ke službě stačí potvrdit jednoduchým heslem (např. čtyřmístným PINem)

Jak FIDO funguje

Pro silnou autentifikaci FIDO využívá standardní veřejný kryptografický klíč. Nový pár klíčů je vytvářen vždy při registraci konkrétní online služby na uživatelově klientském zařízení. Vždy je tak vytvořen jeden privátní klíč (na zařízení) a veřejný klíč (pro službu či aplikaci). Uživatelův privátní klíč lze použít až po lokálním odemčení jeho zařízení. Biometrické informace podle autorů technologie přitom nikdy neopouštějí uživatelovo zařízení.

Čím se FIFO odlišuje?

Mezi základní myšlenky, které hráli při tvorbě technologie FIDO roli, patří jednoduchost, soukromí, bezpečnost a standardizace. Dříve se firmy a instituce při implementaci autentifikačních nástrojů potýkaly s nejrůznějšími proprietárními klienty a protokoly, což chtěli tvůrci FIDA změnit, a přinesly standardizované řešení nabízející transparentní technologie, klienty, vrstvy…

Štítky: 
Bezpečnost
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

České podniky čelí většímu počtu kyberútoků než organizace v okolních zemích

26. 4. 2024. (redaktor: František Doupal, zdroj: Check Point)
První čtvrtletí roku 2024 přineslo další posun v kybernetických válkách. Kyberbezpečnostní společnost Check Point Software Technologies zaznamenala výrazný nárůst kyberútoků, kdy v 1. čtvrtletí 2024 došlo k 28% nárůstu průměrného počtu kybernetických útoků na jednu organizaci v porovnání s posledním čtvrtletím roku 2023. Největší nápor směřuje na vzdělávací a výzkumné organizace. Čtěte více

Eviden monitoruje na dark webu ukradená data a pomáhá tak firmám předvídat kybernetické hrozby

25. 4. 2024. (redaktor: František Doupal, zdroj: Eviden)
Eviden svým zákazníkům poskytuje službu prediktivní bezpečnosti založenou na řešení LUMINAR monitorující únik citlivých informací do prostředí dark webu. Jde o službu, která firmám na základě kontinuálního monitoringu umožňuje vyhledávat a sledovat data a informace, které by útočníci mohli zneužít pro kybernetický útok a proaktivně tak přijímat preventivní opatření. Čtěte více
Scott Tyson, ředitel prodejního kanálu MSP pro oblast EMEA ve společnosti Sophos

Scott Tyson (Sophos): Pojďte s námi udávat trendy v kybernetické bezpečnosti

24. 4. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
Při příležitosti pražského setkání MSP partnerů jsme měli možnost hovořit se Scottem Tysonem, ředitelem prodejního kanálu MSP pro oblast EMEA ve společnosti Sophos. Mluvili jsme o spravovaných službách, řízené detekci a reakci na hrozby, budování vztahů s obchodními partnery a mnoha dalších aspektech oboru, které budou podle společnosti Sophos udávat směr vývoje celého odvětví. Čtěte více

Pět největších trendů v oblasti SASE pro rok 2024

19. 4. 2024. (redaktor: František Doupal, zdroj: Fortinet)
Situace na poli kyberbezpečnosti je komplikovaná. Společnosti využívají tzv. hybridní pracovní sílu, desítky aplikací a třeba i řadu IoT zařízení. Jedním z řešení možných otázek může být přístup SASE (Secure Access Service Edge), na který se v následujícím komentáři zaměřila společnost Fortinet. Čtěte více