FIDO2: מרכיב הזיהוי החזק ביותר בעידן המעבר לענן
דמיינו עולם שבו לא תצטרכו לזכור ולשמור סיסמאות, עולם שבו המידע האישי שלכם מאובטח מפני איומי סייבר, והכניסה לשירותים המקוונים המועדפים עליכם מתבצעת בפשטות של טביעת אצבע.
ברוכים הבאים לעתיד האימות עם FIDO2 – טכנולוגיה לחיים דיגיטליים מאובטחים
טכנולוגיית 2 FIDO
FIDO2 (Fast IDentity Online 2) הוא תקן פתוח שמטרתו לשפר את אימות המשתמש, מה שהופך התנהלות מקוונת למאובטחת ואמינה יותר.
מכיוון שארגונים גדולים מסתמכים יותר ויותר על שירותי ענן, FIDO2 נועד לספק הגנה חזקה מפני פשעי סייבר באמצעות שימוש באישורים קריפטוגרפיים עמידים בפני דיוג (פישינג), על מנת לאמת את זהויות המשתמש.
שדרוג לתקני FIDO
FIDO2 הוא תקן האימות האחרון שפותח על ידי FIDO Alliance, קונסורציום תעשייתי שכולל את מיקרוסופט וארגונים טכנולוגיים, מסחריים וממשלתיים אחרים. קומסיין, כחברה פעילה ב-FIDO Alliance, מאמצת טכנולוגיות אימות ביומטריות חדשות ומתקדמות אלו.
הברית הציגה לראשונה את FIDO 1.0 ב-2014, שהביאה אימות רב-גורמי (MFA) עמיד בפני דיוג. בשנת 2018, הוצג FIDO2 (שנקרא גם FIDO 2.0), המאפשר אימות ללא סיסמה.
תפקיד מפתחות הסיסמה בהקשר של FIDO2
סיסמאות, ללא קשר למורכבותן או לתדירות השינוי שלהן, חשופות לפגיעה, וגם עם פתרונות הגנת סיסמאות חזקים, ארגונים מתמודדים עם סיכונים של התחזות, פריצה והתקפות סייבר אחרות שבהן סיסמאות נגנבות.
מפתחות סיסמה, שנוצרות באמצעות הצפנת מפתח ציבורי, משמשים כאישורי התחברות של FIDO2. מפתחות אלה מחליפים סיסמאות רגילות, מגבירים את אבטחת הסייבר ומפשטים את תהליך ההתחברות ליישומי אינטרנט ולאתרי אינטרנט נתמכים, בגישה ידידותית יותר.
אימות FIDO2 משתמש באלגוריתמים קריפטוגרפיים כדי ליצור זוג מפתחות פרטיים וציבוריים – מספרים אקראיים הקשורים מתמטית. צמד מפתחות זה מקל על אימות משתמש ישירות במכשיר של משתמש קצה, בין אם מחשב שולחני, מחשב נייד, טלפון נייד או מפתח אבטחה. ניתן לקשור מפתחות סיסמה למכשיר בודד או לסנכרן בין מספר מכשירים באמצעות שירות ענן.
איך פועל אימות FIDO2?
אימות FIDO2 משתמש בעיקר במפתחות סיסמה. כאשר משתמש נרשם לשירות מקוון נתמך ב-FIDO2, מכשיר הלקוח יוצר זוג מפתחות ייחודי שמתאים רק לאותה אפליקציה או אתר אינטרנט. המפתח הציבורי מוצפן ומשותף עם השירות, בעוד שהמפתח הפרטי נשאר מאובטח במכשיר של המשתמש.
כל ניסיון התחברות מנחה את השירות להנפיק אתגר ייחודי. מכשיר הלקוח חותם על בקשה זו עם המפתח הפרטי, מה שמבטיח הגנה קריפטוגרפית מפני דיוג.
סוגי מאמת FIDO2
לפני יצירת מפתחות FIDO2, ההתקן חייב לוודא שהמשתמש לגיטימי, ותהליך זיהוי זה מתבצע באמצעות מאמת, שיכול לקבל PIN, ביומטרי או מחוות משתמש אחר.
קיימים שני סוגים של מאמת FIDO:
אימותי נדידה (חוצה פלטפורמות)
התקני חומרה ניידים אלה, נפרדים מהתקני לקוח, כוללים מפתחות אבטחה, סמארטפונים, טאבלטים, מכשירים לבישים והתקנים אחרים המתחברים באמצעות USB, NFC או Bluetooth.
משתמשים מבצעים אימות על ידי חיבור מפתח ולחיצה על כפתור או מתן ביומטרי, כגון טביעת אצבע. מאמתים אלה פועלים על פני מספר מכשירים, ומאפשרים אימות בכל מקום.
מאמתי פלטפורמה (או קשורים)
מוטמעים בהתקני לקוח כמו מחשבים שולחניים, מחשבים ניידים, טאבלטים או סמארטפונים, מאמתים אלה כוללים יכולות ביומטריות ושבבי חומרה להגנה על מפתחות סיסמאות. משתמשים נכנסים לשירותים הנתמכים ב-FIDO במכשיר הלקוח שלהם ומבצעים תהליך אימות, ברוב המקרים עם ביומטרי או PIN.
דוגמאות לאימות פלטפורמה
אימות פלטפורמה באמצעות ביומטריה כולל:
- Microsoft Windows Hello
- Apple Touch ID
- מזהה פנים
- טביעת אצבע של אנדרואיד.
- אבטחת מידע עם מערכת CCMS
רישום וגישה לשירותים הנתמכים ב-FIDO2
כדי ליהנות מהאבטחה המשופרת של אימות FIDO2, יש לבצע את השלבים הבסיסיים הבאים:
הרשמה לשירות נתמך FIDO2
שלב 1: במהלך הרישום, בוחרים שיטת אימות FIDO.
שלב 2: מפעילים את המאמת FIDO באמצעות מחווה נתמכת, כגון הזנת PIN, נגיעה בקורא טביעות אצבע או בשימוש במפתח אבטחה FIDO2.
שלב 3: המכשיר יפיק זוג מפתחות פרטי וציבור ייחודי עבור המכשיר, החשבון והשירות שלכם.
שלב 4: המפתח הפרטי וכל מידע סודי, כמו נתונים ביומטריים, מאוחסנים בצורה מאובטחת במכשיר שלכם. המפתח הציבורי, מוצפן ומלווה במזהה אישור שנוצר באקראי, נרשם בשירות ומאוחסן בשרת המאמת שלו.
כניסה לשירות נתמך FIDO2
שלב 1: השירות מוציא אתגר קריפטוגרפי כדי לאשר את נוכחותכם.
שלב 2: מבצעים את אותה מחוות אימות שבה נעשה שימוש במהלך הרישום. שלב זה מאשר את נוכחותכם, והמכשיר שלכם משתמש במפתח הפרטי כדי לחתום על האתגר.
שלב 3: האתגר החתום נשלח בחזרה לשירות, אשר מאמת אותו באמצעות המפתח הציבורי הרשום.
שלב 4: לאחר האימות, אתם מחוברים.
היתרונות של אימות FIDO2
אימות FIDO2 ללא סיסמה מציע יתרונות רבים, כולל אבטחה משופרת, שיפור בפרטיות המשתמש, חוויות ידידותיות למשתמש, מדרגיות משופרת וניהול גישה פשוט יותר. בואו נראה רגע איך כל יתרון כזה מאפשר לכם לשמור על פרטיות המסמכים שלכם ומונע אפשרויות חבלה, דיוג או זיוף:
אבטחה מוגברת
FIDO2 מגביר משמעותית את אבטחת הכניסה על ידי שימוש במפתחות סיסמה ייחודיים, מה שמקשה על האקרים לגשת למידע רגיש באמצעות דיוג, תוכנות כופר או טקטיקות אחרות של פשעי סייבר.
השילוב של נתונים ביומטריים ומפתחות FIDO2 מפחית את אפשרויות הפגיעות הקיימות בשיטות אימות רב-גורמי רגילות, כמו למשל קודי גישה חד-פעמיים הנשלחים באמצעות הודעות טקסט.
פרטיות משתמש משופרת
אימות FIDO משפר את פרטיות המשתמש על ידי אחסון מאובטח של מפתחות הצפנה פרטיים ונתונים ביומטריים במכשירי המשתמש. שיטה זו מייצרת צמדי מפתחות ייחודיים, המונעת מספקי שירותים לעקוב אחר משתמשים באתרים שונים.
וזה לא הכול. חוקי הפרטיות החדשים מגבילים ארגונים למכור או לשתף מידע ביומטרי, תוך התייחסות לחששות הצרכנים.
קלות שימוש
אימות FIDO מאפשר למשתמשים לאמת במהירות ובנוחות את זהותם באמצעות מפתחות FIDO2, אפליקציות אימות או קוראי טביעות אצבע ומצלמות שמובנות במכשירים שלהם.
למרות שהמשתמשים נדרשים לבצע שלב אבטחה שני או שלישי, מערכת זו חוסכת מהמשתמשים את הטרחה של יצירה, שינון, ניהול ואיפוס סיסמאות.
יתרון המדרגיות
FIDO2, כתקן פתוח וללא רישיון, מאפשר לארגונים ליישם שיטות אימות ללא סיסמה ברחבי העולם. גמישות זו מאפשרת לבעלי עסקים לספק חוויות כניסה מאובטחות ויעילות לכל העובדים, הלקוחות והשותפים, ללא קשר לדפדפן או לפלטפורמה שבחרו.
ניהול גישה פשוט יותר
עם FIDO2, צוותי IT כבר לא צריכים לנהל את מדיניות הסיסמאות והתשתית, מה שמוביל להפחתת עלויות ומאפשר לצוותים להתמקד בפעילויות חשובות יותר.
הפרודוקטיביות של דלפק העזרה עולה גם כאשר הם משוחררים מטיפול בבקשות הקשורות לסיסמה, כגון איפוסים.
מה זה WebAuthn ו-CTAP2
מפרט FIDO2 כולל שני מרכיבים עיקריים: אימות אינטרנט (WebAuthn) ופרוטוקול לקוח ל-Authenticator 2 (CTAP2).
WebAuthn הוא JavaScript API ונחשב למרכיב העיקרי שמיושם בדפדפני אינטרנט ובפלטפורמות תואמות, בהתנהלות שמאפשרת למכשירים רשומים לבצע אימות FIDO2. הוא פותח על ידי World Wide Web Consortium (W3C) בשיתוף עם FIDO Alliance, WebAuthn והפך לתקן אינטרנט רשמי של W3C ב-2019.
CTAP2, שפותחה על ידי FIDO Alliance, הוא הרכיב השני שמאפשר אימות נדידה על ידי מתן אפשרות למכשירים כמו מפתחות אבטחה FIDO2 והתקנים ניידים לתקשר עם דפדפנים ופלטפורמות הנתמכות ב-FIDO2.
עכשיו בואו נבין רגע גם מה זה FIDO U2F ו-FIDO UAF
FIDO2 התפתח ממפרטי FIDO 1.0 המקוריים ששוחררו בשנת 2014, שכללו את FIDO Universal Second Factor (FIDO U2F) ואתFIDO Universal Authentication Framework (FIDO UAF).
FIDO U2F משפר תקני הרשאה מבוססי סיסמה עם אימות דו-גורמי (2FA), המחייב שם משתמש וסיסמה חוקיים כגורם הראשון והתקן USB, NFC או Bluetooth כגורם השני. ברוב המקרים, התהליך זה כרוך באימות על ידי לחיצה על כפתור או הקלדת OTP רגיש לזמן.
במילים אחרות, תהליך האימות משודרג לרמה שלא מאפשרת סיכון לזיוף
FIDO U2F הוא היורש של CTAP 1 והקודם ל-CTAP2, המאפשר שימוש במכשירים ניידים בנוסף למפתחות FIDO כמכשירי צד שני. FIDO UAF מאפשר אימות רב גורמי ללא סיסמה, המחייב את המשתמשים להיכנס עם מכשיר לקוח רשום ב-FIDO המאשר את נוכחותם באמצעות בדיקה ביומטרית או PIN.
בשלב הבא, המכשיר מייצר זוג מפתחות ייחודי כגורם שני. בנוסף, אתר אינטרנט או אפליקציה יכולים להשתמש בגורם שלישי, כגון מיקום ביומטרי או מיקום גיאוגרפי של המשתמש. FIDO UAF הוא קודמו לאימות FIDO2 ללא סיסמה.
כמה מילים לסיום
במעבר להתנהלות עסקית נטולת הצורך לזכור או לנהל סיסמאות, FIDO2 מציע אבטחה ונוחות בכל הנוגע לתקשורת עם שירותים מקוונים.
מוכנים להיות חלק מהעידן החדש של התנהלות דיגיטלית מאובטחת ופשוטה? זה הזמן להגן על העולם המקוון שלכם ולייעל את חייכם הדיגיטליים, כך שאיומי סייבר יהיו דאגה שלא תזכרו שפעם איימה עליכם.
אתם שואלים, אנחנו עונים
מהו FIDO2 ולמה הוא חשוב לאבטחה מקוונת?
FIDO2 (Fast IDentity Online 2) הוא תקן פתוח לאימות משתמשים המשפר את האבטחה על ידי שימוש באישורים קריפטוגרפיים ייחודיים במקום בסיסמאות.
התקן הזה חשוב מכיוון שהוא מספק הגנה חזקה מפני דיוג, תוכנות כופר ואיומי סייבר אחרים, מה שהופך את האינטראקציות המקוונות לבטוחות ואמינות יותר.
איך FIDO2 משפר את חווית המשתמש בהשוואה למערכות רגילות מבוססות סיסמאות?
FIDO2 מפשט את תהליך ההתחברות בכך שהוא מאפשר למשתמשים לבצע אימות באמצעות נתונים ביומטריים, מפתחות אבטחה או אפליקציות אימות, ומבטל את הצורך לזכור ולנהל סיסמאות.
התנהלות זו הופכת את הכניסה למהירה ונוחה יותר, עם הפחתת הסיכון לפרצות אבטחה הקשורות לסיסמאות.
איך FIDO2 מבטיח את הפרטיות והאבטחה של נתוני המשתמש?
FIDO2 משפר את הפרטיות באמצעות אחסון מאובטח של מפתחות הצפנה פרטיים ונתונים ביומטריים במכשיר של המשתמש, ומונע גישה לא מורשית. התנהלות זו מייצרת צמדי מפתח ייחודיים לכל שירות, כך שספקי שירות לא יכולים לעקוב אחר משתמשים באתרים שונים.
בנוסף, התקן תואם לחוקי הפרטיות המגבילים שיתוף או מכירה של מידע ביומטרי, ומגן עוד יותר על נתוני המשתמש.
