Открыть сервис

FIDO Alliance

FIDO Alliance — это открытая отраслевая ассоциация, разрабатывающая открытые стандарты и спецификации для аутентификации без использования паролей. Основанная в 2012 году, организация ставит своей целью снижение зависимости от парольной аутентификации, которая считается уязвимой для фишинга, перехвата и атак методом подбора. FIDO Alliance разрабатывает протоколы, позволяющие использовать для входа на веб-сайты и в приложения криптографические ключи доступа (passkeys), биометрические данные (отпечатки пальцев, распознавание лица) или аппаратные токены.

История

Предпосылки создания

К началу 2010-х годов проблема безопасности парольной аутентификации стала очевидной. Массовые утечки баз данных, фишинговые атаки и слабые пароли пользователей приводили к компрометации миллионов аккаунтов. Традиционные методы двухфакторной аутентификации (2FA) на основе одноразовых кодов (SMS, TOTP) также имели недостатки: SMS-сообщения могли быть перехвачены, а коды TOTP — подвержены фишингу в реальном времени.

Основание и первые шаги

FIDO Alliance была основана в феврале 2012 года. В число учредителей вошли компании PayPal, Lenovo, Nok Nok Labs, Validity Sensors, Agnitio и Infineon Technologies. Первоначальная цель заключалась в создании открытого, масштабируемого и удобного для пользователя протокола аутентификации, который заменил бы пароли. В 2014 году были опубликованы первые версии спецификаций FIDO 1.0, включая Universal Authentication Framework (UAF) и Universal Second Factor (U2F).

Развитие и стандартизация

В 2015 году FIDO Alliance начала сотрудничество с Консорциумом Всемирной паутины (W3C) для интеграции стандартов FIDO в веб-платформу. Результатом этого сотрудничества стала спецификация Web Authentication (WebAuthn), опубликованная W3C в 2019 году. WebAuthn, совместно с протоколом Client-to-Authenticator Protocol (CTAP) от FIDO, сформировал стандарт FIDO2. В 2022 году FIDO Alliance представила спецификацию для ключей доступа (passkeys), которая упрощает использование безнарольной аутентификации на мобильных устройствах и в веб-браузерах.

Ключевые стандарты и протоколы

FIDO Alliance разработала несколько поколений стандартов, которые можно разделить на две основные группы: FIDO 1.0 (включает UAF и U2F) и FIDO2 (включает WebAuthn и CTAP).

FIDO UAF (Universal Authentication Framework)

Протокол UAF предназначен для безнарольной аутентификации. Он позволяет пользователю зарегистрировать устройство (например, смартфон с биометрическим датчиком) и впоследствии входить в систему, используя локальную аутентификацию (отпечаток пальца, голос, PIN-код). Серверу не передаётся пароль или биометрический шаблон — только криптографический ключ, подписанный устройством. UAF поддерживает как локальную, так и удалённую аутентификацию.

FIDO U2F (Universal Second Factor)

Протокол U2F предназначен для двухфакторной аутентификации. Он используется в качестве второго фактора после ввода пароля. Пользователь вставляет USB-ключ или подносит NFC-токен к устройству. Устройство генерирует и подписывает криптографический запрос, что делает атаку фишинга неэффективной, так как подпись привязана к конкретному домену. U2F стал основой для многих аппаратных ключей безопасности, таких как YubiKey.

FIDO2

FIDO2 — это современный стандарт, объединяющий две спецификации:

  • WebAuthn (Web Authentication) — API от W3C, позволяющее веб-приложениям взаимодействовать с аутентификаторами (например, встроенными биометрическими датчиками или внешними токенами) через браузер.
  • CTAP (Client-to-Authenticator Protocol) — протокол, определяющий взаимодействие между клиентом (браузером) и аутентификатором (USB-ключом, NFC-меткой, Bluetooth-устройством).

FIDO2 поддерживает как безнарольную аутентификацию, так и двухфакторную. Он является основой для технологии passkeys.

Passkeys (Ключи доступа)

В 2022 году FIDO Alliance совместно с Apple, Google и Microsoft представила спецификацию для ключей доступа (passkeys). Ключ доступа — это криптографическая пара ключей (открытый и закрытый), которая создаётся на устройстве пользователя и синхронизируется через облачный сервис (например, iCloud Keychain, Google Password Manager). Закрытый ключ никогда не покидает устройство пользователя и не передаётся серверу. Для входа пользователь использует биометрию или PIN-код. Ключи доступа устойчивы к фишингу, так как они привязаны к конкретному домену.

Устройство и принцип работы

Криптографическая основа

Все протоколы FIDO основаны на асимметричной криптографии. При регистрации на сервере устройство пользователя генерирует пару ключей: открытый ключ передаётся на сервер, закрытый ключ остаётся на устройстве. При аутентификации сервер отправляет устройству случайное число (вызов), которое устройство подписывает закрытым ключом. Сервер проверяет подпись с помощью открытого ключа. Таким образом, пароль не хранится и не передаётся.

Роль аутентификатора

Аутентификатор — это устройство или программный модуль, который генерирует, хранит и использует закрытые ключи. Аутентификаторы могут быть:

  • Встроенными (платформенными): встроенный в смартфон датчик отпечатков пальцев, камера Face ID, TPM-модуль в ноутбуке.
  • Внешними (роуминговыми): USB-ключи (например, YubiKey), NFC-токены, Bluetooth-устройства.

Защита от фишинга

Ключевое преимущество FIDO — защита от фишинга. Криптографическая подпись создаётся для конкретного домена (origin). Если пользователь попытается использовать ключ на поддельном сайте (например, mybank-login.com вместо mybank.com), подпись не будет соответствовать ожидаемому домену, и сервер отклонит аутентификацию.

Применение

Веб-сервисы и приложения

Стандарты FIDO поддерживаются всеми основными браузерами (Google Chrome, Mozilla Firefox, Apple Safari, Microsoft Edge) и операционными системами (Windows, macOS, Android, iOS). Крупные интернет-компании, такие как Google, Microsoft, Apple, Facebook (продукт Meta, признанной экстремистской и запрещённой в РФ), PayPal, Dropbox, внедрили поддержку FIDO2 и passkeys. Пользователи могут войти в свои аккаунты, используя отпечаток пальца или Face ID, без ввода пароля.

Корпоративный сектор

В корпоративной среде FIDO используется для защиты доступа к внутренним ресурсам, облачным сервисам и VPN. Аппаратные ключи (например, YubiKey) часто применяются для многофакторной аутентификации сотрудников. FIDO позволяет снизить риски, связанные с кражей паролей и фишингом.

Государственные и финансовые организации

В некоторых странах стандарты FIDO используются для аутентификации граждан при доступе к государственным услугам (например, в США — Login.gov). Финансовые учреждения внедряют FIDO для защиты онлайн-банкинга и платежей.

Критика и ограничения

Зависимость от устройств

Хотя passkeys синхронизируются через облачные сервисы, потеря доступа к аккаунту облачного сервиса (например, при утере пароля от Apple ID) может привести к потере всех ключей доступа. Восстановление доступа может быть сложным.

Поддержка на старых устройствах

Старые браузеры и операционные системы могут не поддерживать FIDO2 или WebAuthn. Это ограничивает внедрение технологии в legacy-системах.

Проблемы с приватностью

Хотя FIDO не передаёт биометрические данные на сервер, сам факт использования биометрии (например, отпечатка пальца) может вызывать опасения у пользователей, не доверяющих локальным датчикам. Кроме того, при использовании passkeys через облачные сервисы (Apple, Google) возникает вопрос о том, насколько эти компании защищают данные пользователей.

Зависимость от экосистем

Стандарты FIDO активно продвигаются крупными технологическими компаниями (Apple, Google, Microsoft), что может привести к монополизации рынка аутентификации. Критики отмечают, что пользователи становятся зависимыми от экосистем этих компаний.

Интересные факты

  • Название «FIDO» расшифровывается как «Fast IDentity Online» (Быстрая идентификация онлайн).
  • Первые аппаратные ключи U2F были выпущены компанией Yubico в 2014 году.
  • В 2023 году Apple, Google и Microsoft объявили о расширении поддержки passkeys на всех своих платформах.
  • Стандарт FIDO2 был принят в качестве государственного стандарта в некоторых странах (например, в Японии).
  • По данным FIDO Alliance, на 2024 год более 10 миллиардов устройств поддерживают стандарты FIDO.

Источники

  • FIDO Alliance. «FIDO Specifications Overview». Официальный сайт FIDO Alliance.
  • W3C. «Web Authentication: An API for Public Key Credentials». Рекомендация W3C, 2019.
  • Google. «The FIDO Alliance: A New Standard for Authentication». Блог Google Security, 2014.
  • Microsoft. «Passwordless authentication with FIDO2». Документация Microsoft.
  • Apple. «Introducing Passkeys». Документация для разработчиков Apple.
  • Yubico. «U2F and FIDO2: The Evolution of Hardware Security Keys». Технический документ Yubico.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →