FIDO Alliantie | ||
---|---|---|
Geschiedenis | ||
Opgericht | juli 2012[1] | |
Hoofdkantoor | Mountain View, Californië (VS) | |
Type | brancheorganisatie | |
Doel | webstandaarden, authenticatie | |
Media | ||
Website | https://fidoalliance.org/ |
De FIDO Alliantie ("Fast IDentity Online", “snelle identiteit online”) is een open branchevereniging die in februari 2013 werd opgericht met als doel het ontwikkelen en bevorderen van authenticatienormen. Die standaarden komen tegemoet aan de problemen die gebruikers ervaren bij het aanmaken en onthouden van een reeks gebruikersnamen en wachtwoorden. De Alliantie wil daarbij de interoperabiliteit verbeteren tussen apparaten die sterke authenticatie gebruiken.[2][3]
FIDO ondersteunt een volledig scala aan authenticatietechnologieën, waaronder biometrie, zoals vingerafdruk- en irisscanners, stem- en gezichtsherkenning, naast bestaande oplossingen en communicatiestandaarden zoals Trusted Platform Modules (TPM), USB security tokens, embedded Secure Elements (eSE), smartcards en near-field communication (NFC).[4] Het USB security token-apparaat kan worden gebruikt voor authenticatie, na het invoeren van een eenvoudig wachtwoord (bijvoorbeeld een pincode van vier cijfers) of door op een knop te drukken.
De specificaties zijn verbonden met elk fysiek apparaat. De authenticatie op afstand gebeurt cryptografisch met de publieke sleutel waarmee elk apparaat zich bij een server registreert. Om de gebruiker te legitimeren ondertekent het apparaat een challenge van de server met de eigen privésleutel. De toegangssleutels op het apparaat worden ontgrendeld door een lokaal gebruikersgebaar zoals een vingerafdruk of het indrukken van een knop.
FIDO biedt twee soorten gebruikerservaringen, afhankelijk van het gebruikte protocol.[4] Beide protocollen hanteren een gemeenschappelijke interface op de client, welke lokale authenticatiemethode de gebruiker ook inschakelt.
De FIDO Alliantie is een organisatie zonder winstbejag naar Amerikaans recht, ingeschreven in juli 2012 op initiatief van PayPal, Lenovo, Nok Nok Labs, Validity Sensors, Infineon en Agnitio. In februari 2013 werd de Alliantie publiekelijk gelanceerd.[1]
Ruim veertig ondernemingen maken deel uit van de Alliantie, en onder meer:
De volgende open specificaties kunnen worden verkregen via de FIDO-website:[5]
Het FIDO2-project is een gezamenlijke inspanning van de FIDO Alliantie en het World Wide Web Consortium (W3C) met als doel een sterke authenticatie voor het web te creëren. In essentie bestaat FIDO2 uit de W3C Web Authentication-standaard (WebAuthn) en het FIDO Client to Authenticator Protocol 2 (CTAP2). FIDO2 is gebaseerd op eerder werk van de FIDO Alliance, met name de Universal 2nd Factor (U2F) authenticatiestandaard.
Samen specificeren WebAuthn en CTAP een standaard authenticatieprotocol waarbij de eindpunten van het protocol bestaan uit een door de gebruiker gecontroleerde cryptografische authenticator (zoals een smartphone of een hardware beveiligingssleutel) en een WebAuthn Relying Party (ook wel een FIDO2-server genoemd). Een “web useragent” (d.w.z. een webbrowser) vormt samen met een WebAuthn-client de tussenschakel tussen de authenticator en de relying party. Eén enkele WebAuthn-client apparaat kan meerdere WebAuthn-clients ondersteunen. Een laptop kan bijvoorbeeld meerdere clients ondersteunen, één voor elke conforme useragent die op de laptop draait. Een conforme user agent implementeert de WebAuthn JavaScript API.
Zoals de naam al aangeeft, stelt het Client to Authenticator Protocol (CTAP) een conforme cryptografische authenticator in staat om samen te werken met een WebAuthn-client. De CTAP-specificatie verwijst naar twee protocolversies: CTAP1/U2F en CTAP2. Een authenticator die een van deze protocollen implementeert, wordt doorgaans respectievelijk een U2F-authenticator of een FIDO2-authenticator genoemd. Een FIDO2-authenticator die ook het CTAP1/U2F-protocol implementeert, is achterwaarts compatibel met U2F.
In de praktijk wordt deze wachtwoordloze authenticatie een passkey (Apple), toegangssleutel (Google), aanmeldsleutelbos (Chromium) of beveiligingssleutel (Microsoft)[6] genoemd. Deze “sleutels” zijn ontworpen om handiger en phishingbestendiger te zijn dan conventionele authenticatiemethoden.[7][6]