L'Alliance FIDO (pour « Fast IDentity Online », en anglais) est une association industrielle ouverte lancée en février 2013 dont la mission déclarée est de développer et de promouvoir des normes d'authentification qui « contribuent à réduire la dépendance excessive du monde aux mots de passe »[1]. FIDO résout le manque d'interopérabilité entre les dispositifs d'authentification forte et réduit les problèmes rencontrés par les utilisateurs lors de la création et de la mémorisation de plusieurs noms d'utilisateur et mots de passe.
FIDO prend en charge une gamme complète de technologies d'authentification, y compris la biométrie – empreintes digitales et iris, reconnaissance vocale et faciale – ainsi que les solutions et les normes de communication existantes, telles que les modules de plateforme sécurisée (TPM), les jetons de sécurité USB, les éléments sécurisés intégrés (eSE), les cartes à puce et la communication en champ proche (NFC)[2].
Le dispositif de jeton numérique (USB) peut être utilisé pour s'authentifier à l'aide d'un simple mot de passe (par exemple un code PIN à quatre chiffres) ou en appuyant sur un bouton. Les spécifications mettent l'accent sur un modèle centré sur l'appareil. L'authentification sur le réseau s'effectue à l'aide de cryptographie asymétrique.
Le dispositif de l'utilisateur enregistre sa clé publique auprès d'un serveur. Pour authentifier l'utilisateur, l'appareil signe un « défi » à l'aide de la clé privée qu'il détient. Les touches de l'appareil sont déverrouillées par un geste de l'utilisateur local tel qu'un geste biométrique ou en appuyant sur un bouton.
FIDO propose deux types d'expériences utilisateur en fonction du protocole utilisé[2]. Les deux protocoles définissent une interface commune au niveau du client quelle que soit la méthode d'authentification locale utilisée par l'utilisateur.
Les spécifications ouvertes suivantes peuvent être obtenues sur le site Web de FIDO[3].
La norme U2F 1.0 (octobre 9, 2014) est le point de départ d'une spécification éphémère connue sous le nom de FIDO 2.0 (septembre 4, 2015). Cette dernier a été officiellement soumis au World Wide Web Consortium (W3C) en novembre 12, 2015[5]. Par la suite, le premier projet de travail de la norme d'authentification Web du W3C (WebAuthn) a été publié en mai 31, 2016. La norme WebAuthn a été révisée à plusieurs reprises depuis lors, devenant une recommandation du W3C en mars 4, 2019.
Pendant ce temps l'U2F 1.2 (juillet 11, 2017) devint le point de départ du protocole Client to Authenticator 2.0 Proposition de norme, qui a été publiée en septembre 27, 2017. FIDO CTAP 2.0 complète W3C WebAuthn, qui sont tous deux concernés par le projet FIDO2 .