Що таке автентифікація FIDO і чому це майбутнє безпарольного входу?

Ще зовсім недавно більшість онлайн-сервісів використовували лише паролі для захисту облікових записів користувачів. Однак такий підхід давно показав свою ненадійність: слабкі паролі, фішинг, перебір паролів і численні злами баз даних стали серйозною проблемою.

Щоб вирішити цю ситуацію, у 2012 році провідні IT-компанії об'єдналися в альянс під назвою FIDO Alliance. Головна мета цієї організації — розробити новий, більш безпечний та зручний підхід до ідентифікації користувачів в Інтернеті без використання традиційних паролів. Результатом цієї роботи стало створення протоколів FIDO — інноваційної технології, яка сьогодні вважається одним із найперспективніших рішень у сфері кібербезпеки.

Суть автентифікації FIDO полягає у використанні криптографічних ключів, що зберігаються локально на пристрої користувача. Ці ключі, відомі як passkeys або ключі доступу, дозволяють підтверджувати особу користувача без необхідності вводити будь-які паролі. Для авторизації достатньо виконати просту дію — наприклад, відсканувати відбиток пальця, розпізнати обличчя або вставити апаратний ключ. При цьому всі складні криптографічні операції відбуваються у фоновому режимі без участі користувача.

Такий підхід має очевидні переваги: по-перше, він мінімізує ризики витоку даних, адже секретні ключі не зберігаються на стороні серверів. По-друге, passkeys можна використовувати на різних пристроях — від смартфонів до ноутбуків і планшетів. Таким чином, однаковий ключ доступу дозволяє входити на сайти з будь-якого вашого гаджета.

FIDO — це загальний термін, який охоплює різні версії та специфікації автентифікаційних протоколів, розроблених FIDO Alliance. Від моменту створення у 2012 році ця технологія пройшла кілька важливих етапів розвитку, кожен з яких вносив свої зміни у спосіб, яким ми ідентифікуємося в цифровому просторі.

Початковий стандарт, відомий як FIDO 1.0, був представлений у 2014 році. Його головна мета — замінити класичні паролі біометричними методами або апаратними токенами. До складу стандарту FIDO 1.0 увійшли дві основні специфікації: FIDO UAF (Universal Authentication Framework) і FIDO U2F (Universal Second Factor). UAF фокусувався на використанні біометрії для входу, тоді як U2F додав додатковий рівень захисту до вже існуючих паролів.

Однак ці перші рішення мали одну суттєву проблему — відсутність єдиного стандарту для різних браузерів і платформ. Це створювало труднощі з інтеграцією та масштабуванням технології.

Відповіддю на ці виклики стало створення стандарту FIDO2, розробленого спільно FIDO Alliance та Всесвітнім консорціумом Інтернету (W3C). Цей протокол з’явився у 2018 році та відкрив нову еру безпарольної автентифікації. Завдяки підтримці провідних браузерів, таких як Chrome і Firefox, FIDO2 швидко почав набирати популярності.

FIDO2 складається з двох ключових компонентів: WebAuthn (Web Authentication API) та CTAP (Client to Authenticator Protocol). Разом вони забезпечують універсальну, зручну та криптографічно захищену ідентифікацію користувача без необхідності введення паролів.

Якщо коротко, то основні відмінності між FIDO 1.0 та FIDO2 полягають у масштабі застосування, стандартизації та підтримці платформ. FIDO2 пропонує єдину архітектуру, яку підтримують всі сучасні браузери та операційні системи — від Android і iOS до Windows і macOS.

Щоб краще зрозуміти, як саме працює FIDO-автентифікація, варто розглянути її основні етапи. Процес включає дві ключові фази: реєстрацію користувача та подальшу автентифікацію під час входу на сайт або у застосунок.

Етап 1: Реєстрація нового користувача

Перший крок — це створення унікального ключа доступу (passkey), який зберігатиметься на вашому пристрої. Процес виглядає так:

1. Користувач відвідує сайт або сервіс, який підтримує вхід за допомогою passkey.
2. Під час реєстрації система пропонує обрати спосіб автентифікації — наприклад, відбиток пальця, скан обличчя або підключення апаратного ключа безпеки.
3. Операційна система пристрою створює пару криптографічних ключів: приватний зберігається локально на вашому гаджеті як passkey, а публічний передається на сервер для подальшої перевірки.
4. Після успішної генерації ключів обліковий запис користувача вважається готовим до безпечного входу.

Етап 2: Процес автентифікації під час входу

Коли користувач знову заходить на сайт, процес автентифікації виглядає наступним чином:

1. На екрані з'являється запит на використання passkey для входу.
2. Користувач обирає пристрій, на якому збережено потрібний ключ доступу.
3. Після цього система просить виконати ту саму дію, яка була обрана при реєстрації – наприклад, провести біометричну ідентифікацію або вставити фізичний ключ безпеки.
4. Сервер виконує перевірку отриманого цифрового підпису, використовуючи публічний ключ, який був збережений під час реєстрації.
5. Якщо перевірка успішна – користувач отримує доступ до свого облікового запису.

Основні переваги такого підходу

Завдяки тому, що приватний ключ ніколи не залишає пристрою користувача, навіть у разі компрометації серверу, зловмисники не отримають доступу до ваших даних. Крім того, сам процес входу стає значно швидшим і зручнішим — без необхідності запам'ятовувати складні паролі чи проходити багаторівневі підтвердження.

Багато користувачів плутають поняття FIDO, MFA (мультифакторна автентифікація) та passwordless authentication (безпарольна автентифікація). Хоча між цими технологіями є певний зв'язок, важливо розуміти ключові відмінності між ними.

MFA або багатофакторна автентифікація — це загальна концепція безпеки, яка вимагає від користувача підтвердження особи з використанням щонайменше двох різних факторів: знання (наприклад, пароль), володіння (наприклад, телефон або апаратний ключ) та біометрії (наприклад, відбиток пальця).

FIDO-автентифікація теж використовує декілька факторів, однак об'єднує їх в одну просту дію для користувача. Наприклад, коли ви прикладаєте палець до сканера або вставляєте фізичний ключ безпеки — це виглядає як один крок. Але насправді у фоновому режимі відбувається відразу два рівня захисту: перевірка самого пристрою (володіння) і біометрична аутентифікація (фактор особистої ідентифікації).

Безпарольна автентифікація — це підхід, коли користувачеві не потрібно вводити жодного пароля для доступу до акаунта. Це може бути як одноразовий код, надісланий на телефон, так і вхід за допомогою біометрії або апаратного ключа.

FIDO є одним із найбільш безпечних варіантів безпарольної автентифікації. Завдяки використанню криптографічних ключів і локальному зберіганню passkeys, FIDO дозволяє повністю відмовитися від паролів, забезпечуючи водночас високий рівень безпеки.

Отже, FIDO поєднує в собі переваги обох підходів: це і форма багатофакторної автентифікації, і водночас надійний спосіб реалізації безпарольного входу. Завдяки цьому FIDO швидко стає стандартом безпеки для сучасних онлайн-сервісів.