FIDO Alliance
FIDO Alliance — это открытая отраслевая ассоциация, разрабатывающая открытые стандарты и спецификации для аутентификации без использования паролей. Основанная в 2012 году, организация ставит своей целью снижение зависимости от парольной аутентификации, которая считается уязвимой для фишинга, перехвата и атак методом подбора. FIDO Alliance разрабатывает протоколы, позволяющие использовать для входа на веб-сайты и в приложения криптографические ключи доступа (passkeys), биометрические данные (отпечатки пальцев, распознавание лица) или аппаратные токены.
История
Предпосылки создания
К началу 2010-х годов проблема безопасности парольной аутентификации стала очевидной. Массовые утечки баз данных, фишинговые атаки и слабые пароли пользователей приводили к компрометации миллионов аккаунтов. Традиционные методы двухфакторной аутентификации (2FA) на основе одноразовых кодов (SMS, TOTP) также имели недостатки: SMS-сообщения могли быть перехвачены, а коды TOTP — подвержены фишингу в реальном времени.
Основание и первые шаги
FIDO Alliance была основана в феврале 2012 года. В число учредителей вошли компании PayPal, Lenovo, Nok Nok Labs, Validity Sensors, Agnitio и Infineon Technologies. Первоначальная цель заключалась в создании открытого, масштабируемого и удобного для пользователя протокола аутентификации, который заменил бы пароли. В 2014 году были опубликованы первые версии спецификаций FIDO 1.0, включая Universal Authentication Framework (UAF) и Universal Second Factor (U2F).
Развитие и стандартизация
В 2015 году FIDO Alliance начала сотрудничество с Консорциумом Всемирной паутины (W3C) для интеграции стандартов FIDO в веб-платформу. Результатом этого сотрудничества стала спецификация Web Authentication (WebAuthn), опубликованная W3C в 2019 году. WebAuthn, совместно с протоколом Client-to-Authenticator Protocol (CTAP) от FIDO, сформировал стандарт FIDO2. В 2022 году FIDO Alliance представила спецификацию для ключей доступа (passkeys), которая упрощает использование безнарольной аутентификации на мобильных устройствах и в веб-браузерах.
Ключевые стандарты и протоколы
FIDO Alliance разработала несколько поколений стандартов, которые можно разделить на две основные группы: FIDO 1.0 (включает UAF и U2F) и FIDO2 (включает WebAuthn и CTAP).
FIDO UAF (Universal Authentication Framework)
Протокол UAF предназначен для безнарольной аутентификации. Он позволяет пользователю зарегистрировать устройство (например, смартфон с биометрическим датчиком) и впоследствии входить в систему, используя локальную аутентификацию (отпечаток пальца, голос, PIN-код). Серверу не передаётся пароль или биометрический шаблон — только криптографический ключ, подписанный устройством. UAF поддерживает как локальную, так и удалённую аутентификацию.
FIDO U2F (Universal Second Factor)
Протокол U2F предназначен для двухфакторной аутентификации. Он используется в качестве второго фактора после ввода пароля. Пользователь вставляет USB-ключ или подносит NFC-токен к устройству. Устройство генерирует и подписывает криптографический запрос, что делает атаку фишинга неэффективной, так как подпись привязана к конкретному домену. U2F стал основой для многих аппаратных ключей безопасности, таких как YubiKey.
FIDO2
FIDO2 — это современный стандарт, объединяющий две спецификации:
- WebAuthn (Web Authentication) — API от W3C, позволяющее веб-приложениям взаимодействовать с аутентификаторами (например, встроенными биометрическими датчиками или внешними токенами) через браузер.
- CTAP (Client-to-Authenticator Protocol) — протокол, определяющий взаимодействие между клиентом (браузером) и аутентификатором (USB-ключом, NFC-меткой, Bluetooth-устройством).
FIDO2 поддерживает как безнарольную аутентификацию, так и двухфакторную. Он является основой для технологии passkeys.
Passkeys (Ключи доступа)
В 2022 году FIDO Alliance совместно с Apple, Google и Microsoft представила спецификацию для ключей доступа (passkeys). Ключ доступа — это криптографическая пара ключей (открытый и закрытый), которая создаётся на устройстве пользователя и синхронизируется через облачный сервис (например, iCloud Keychain, Google Password Manager). Закрытый ключ никогда не покидает устройство пользователя и не передаётся серверу. Для входа пользователь использует биометрию или PIN-код. Ключи доступа устойчивы к фишингу, так как они привязаны к конкретному домену.
Устройство и принцип работы
Криптографическая основа
Все протоколы FIDO основаны на асимметричной криптографии. При регистрации на сервере устройство пользователя генерирует пару ключей: открытый ключ передаётся на сервер, закрытый ключ остаётся на устройстве. При аутентификации сервер отправляет устройству случайное число (вызов), которое устройство подписывает закрытым ключом. Сервер проверяет подпись с помощью открытого ключа. Таким образом, пароль не хранится и не передаётся.
Роль аутентификатора
Аутентификатор — это устройство или программный модуль, который генерирует, хранит и использует закрытые ключи. Аутентификаторы могут быть:
- Встроенными (платформенными): встроенный в смартфон датчик отпечатков пальцев, камера Face ID, TPM-модуль в ноутбуке.
- Внешними (роуминговыми): USB-ключи (например, YubiKey), NFC-токены, Bluetooth-устройства.
Защита от фишинга
Ключевое преимущество FIDO — защита от фишинга. Криптографическая подпись создаётся для конкретного домена (origin). Если пользователь попытается использовать ключ на поддельном сайте (например, mybank-login.com вместо mybank.com), подпись не будет соответствовать ожидаемому домену, и сервер отклонит аутентификацию.
Применение
Веб-сервисы и приложения
Стандарты FIDO поддерживаются всеми основными браузерами (Google Chrome, Mozilla Firefox, Apple Safari, Microsoft Edge) и операционными системами (Windows, macOS, Android, iOS). Крупные интернет-компании, такие как Google, Microsoft, Apple, Facebook (продукт Meta, признанной экстремистской и запрещённой в РФ), PayPal, Dropbox, внедрили поддержку FIDO2 и passkeys. Пользователи могут войти в свои аккаунты, используя отпечаток пальца или Face ID, без ввода пароля.
Корпоративный сектор
В корпоративной среде FIDO используется для защиты доступа к внутренним ресурсам, облачным сервисам и VPN. Аппаратные ключи (например, YubiKey) часто применяются для многофакторной аутентификации сотрудников. FIDO позволяет снизить риски, связанные с кражей паролей и фишингом.
Государственные и финансовые организации
В некоторых странах стандарты FIDO используются для аутентификации граждан при доступе к государственным услугам (например, в США — Login.gov). Финансовые учреждения внедряют FIDO для защиты онлайн-банкинга и платежей.
Критика и ограничения
Зависимость от устройств
Хотя passkeys синхронизируются через облачные сервисы, потеря доступа к аккаунту облачного сервиса (например, при утере пароля от Apple ID) может привести к потере всех ключей доступа. Восстановление доступа может быть сложным.
Поддержка на старых устройствах
Старые браузеры и операционные системы могут не поддерживать FIDO2 или WebAuthn. Это ограничивает внедрение технологии в legacy-системах.
Проблемы с приватностью
Хотя FIDO не передаёт биометрические данные на сервер, сам факт использования биометрии (например, отпечатка пальца) может вызывать опасения у пользователей, не доверяющих локальным датчикам. Кроме того, при использовании passkeys через облачные сервисы (Apple, Google) возникает вопрос о том, насколько эти компании защищают данные пользователей.
Зависимость от экосистем
Стандарты FIDO активно продвигаются крупными технологическими компаниями (Apple, Google, Microsoft), что может привести к монополизации рынка аутентификации. Критики отмечают, что пользователи становятся зависимыми от экосистем этих компаний.
Интересные факты
- Название «FIDO» расшифровывается как «Fast IDentity Online» (Быстрая идентификация онлайн).
- Первые аппаратные ключи U2F были выпущены компанией Yubico в 2014 году.
- В 2023 году Apple, Google и Microsoft объявили о расширении поддержки passkeys на всех своих платформах.
- Стандарт FIDO2 был принят в качестве государственного стандарта в некоторых странах (например, в Японии).
- По данным FIDO Alliance, на 2024 год более 10 миллиардов устройств поддерживают стандарты FIDO.
Источники
- FIDO Alliance. «FIDO Specifications Overview». Официальный сайт FIDO Alliance.
- W3C. «Web Authentication: An API for Public Key Credentials». Рекомендация W3C, 2019.
- Google. «The FIDO Alliance: A New Standard for Authentication». Блог Google Security, 2014.
- Microsoft. «Passwordless authentication with FIDO2». Документация Microsoft.
- Apple. «Introducing Passkeys». Документация для разработчиков Apple.
- Yubico. «U2F and FIDO2: The Evolution of Hardware Security Keys». Технический документ Yubico.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →