תקן FIDO

תקן FIDO (קיצור של Fast IDentity Online) הושק ב-2013 במטרה לקדם סטנדרט מאובטח, שעיקרו הקטנה או ביטול התלות בסיסמאות לצורכי אימות והזדהות.

ארכיטקטורת האימות של FIDO מקטינה את החיכוך שחווה המשתמש בתהליך הלוגין(אנ') (כגון שכחה או טעות בהקלדת סיסמה), מקטינה משמעותית את איומי הסייבר מתקיפות פישינג ומפחיתה את סיכוני הפגיעה בפרטיות על ידי הימנעות מאחסון מידע ביומטרי של המשתמשים בשרתי הארגונים.

בארגון FIDO שותפות חברות גלובליות כגון PayPal, Google, Microsoft, eBay, Facebook, Alibaba, חברות מובילות מתחום כרטיסי האשראי, הבנקאות, הטלקום ועוד, וכן גופים פדרליים שונים. מטה FIDO Alliance ממוקם בקליפורניה, ארצות הברית.

תפיסת ההפעלה של FIDO מבוססת על שימוש בהתקני אימות מאובטחים הנמצאים ברשות המשתמש. לדוגמה סורק טביעת אצבע או מצלמה בסמארטפון, התקן אימות מובנה במחשב נייד או התקן לביש. היתרון בכך הוא שניתן להקל או לבטל את הצורך בשימוש בסיסמה כדי ליצור חיבור מאובטח לאתר, לאפליקציה או למחשב. הנתונים האישיים והמפתחות הפרטיים נשמרים אצל המשתמש ונשארים בבעלותו ולפיכך אינם מאוחסנים בשרתים ארגוניים או ציבוריים. בנוסף ארכיטקטורת FIDO מאפשרת תאימות בין תהליכי האימות של מערכות שונות (interoperability).

FIDO תומך במגוון של טכנולוגיות אימות, כולל ביומטריה כגון טביעת אצבע, זיהוי קשתית, זיהוי קולי וזיהוי תווי פנים, ופתרונות סטנדרטיים ותקניים כדוגמת רכיב אבטחת חומרה TPM, טוקן אבטחה USB, רכיב אבטחה משובץ (eSE), כרטיסים חכמים ותקשורת טווח אפס (NFC). כיום תקן FIDO נתמך בדפדפנים (Chrome, Firefox ובאמצעות Webkit בספארי) באנדרואיד, במערכת ההפעלה Windows 10 ועוד ^[1].

FIDO מגדיר שלושה מפרטים טכניים לאימות משתמש המאפשרים אימוץ חלקי או מלא של התקן (נכון לאוקטובר 2019)^[2].

• Universal Second Factor פקטור אוניברסלי שני (FIDO U2F) - שימוש בפקטור שני כדוגמת טוקן אבטחה שמזוהה דרך USB, NFC או BLE בנוסף לקוד המשתמש והסיסמה. U2F מאפשר לפשט את הסיסמה (לקוד של 4 ספרות לדוגמה) מבלי להתפשר על רמת האבטחה.
• Universal Authentication Framework מסגרת אימות אוניברסלית (FIDO UAF) - מאפשרת אימות ללא סיסמה באמצעות רישום של מכשיר אימות אישי כגון סמארטפון לשירות האימות של FIDO. האימות מבוצע לרוב באמצעים ביומטריים הנשמרים מקומית. מפרט זה מאפשר גם שימוש משולב של PIN קוד יחד עם אמצעי ביומטרי.
• FIDO2 הושק ב 2018 וכולל שלושה מפרטים. שניים מתוכם UAF, CTAP הוכרו על ידי ITU כסטנדרט בינלאומי ^[3]:
  1. (Web Authentication (W3C WebAuthn - סטנדרט של API אינטרנטי הקיים בדפדפנים ובפלטפורמות התומכות בתקן FIDO^[4].
  2. (Client to Authenticator Protocol (CATP2 - מאפשר שימוש בהתקני אימות ששייכים למשתמש כגון סמארטפון או טוקן אבטחה, כדי לבצע לוגין באמצעות דפדפנים או מערכות הפעלה תומכי FIDO2. מפרט זה מאפשר הזדהות ללא סיסמה, כפקטור שני (2FA) או כפקטור נוסף לחיזוק הזדהות (MFA).
  3. CTAP1 - השם החדש של מפרט U2F המתואר לעיל.

בעת רישום המשתמש (Sign up) לשירות FIDO, נוצר זוג מפתחות במכשיר המשתמש. המפתח הציבורי נשלח לשרת והמפתח הפרטי מאוחסן בצורה מאובטחת בהתקן האימות (FIDO Authenticator). הגישה להתקן האימות מבוצעת מקומית באמצעים ביומטריים (לדוגמה, סריקה של איריס או טביעת אצבע), באמצעות טוקן אבטחה כגון USB, NFC ,Bluetooth או בשיטות אחרות.

בתהליך ההזדהות (Log in), התקן האימות של FIDO מצפין את בקשת השרת באמצעות המפתח הפרטי שמאוחסן אצלו, ושולח לשרת תשובה מוצפנת. השרת יכול כעת לבדוק ולאמת את האותנטיות של המשתמש באמצעות המפתח הציבורי שמוחזק אצלו.

FIDO הושקה ב 2012 על ידי Agnitio, Infineon, Lenovo, Nok Nok Labs, PayPal ו- Validity Sensors^[5].

בסוף 2014 הארגון כלל בין 150 החברות את Alibaba Group, Bank of America, Blackberry, Google Inc., MasterCard, Microsoft, NXP Semiconductors, Oberthur, Qualcomm, RSA Security, Samsung, Synaptics, Visa Inc.

בשנת 2019 קיימות בארגון FIDO יותר מ 260 חברות, רובן גלובליות. רשימה מלאה זמינה באתר הרשמי ^[6].

ניתן לקבל את המפרטים הפתוחים מאתר FIDO^[7].

• אתר האינטרנט הרשמי של תקן FIDO (באנגלית)
• אתר האינטרנט הרשמי של תקן FIDO (בסינית מפושטת)
• אתר האינטרנט הרשמי של תקן FIDO (ביפנית)
• אתר האינטרנט הרשמי של תקן FIDO (בקוריאנית)

• תקן FIDO, ברשת החברתית אקס (טוויטר)
• תקן FIDO, ברשת החברתית LinkedIn
• תקן FIDO, סרטונים בערוץ היוטיוב