Gli standard Fast Identity Online (FIDO) sono protocolli di autenticazione dove sicurezza ed esperienza utente si incontrano.
Gli standard FIDO, sviluppati da un'associazione industriale aperta – la FIDO Alliance, offrono più sicurezza rispetto alle sole password o ai codici temporanei e permettono un'autenticazione rapida, sicura e più forte.
Comprende diverse tecniche di autenticazione come scansioni biometriche, scansioni dell'iride, riconoscimento vocale o riconoscimento facciale. FIDO facilita anche soluzioni di autenticazione esistenti come token di sicurezza, autenticazione con smart card, comunicazione in prossimità (NFC) e altro ancora.
Interessante è l'origine linguistica del nome FIDO che risale alla parola latina "fido", che significa fiducia, come definito nel dizionario latino dell'Università di Notre Dame, ed è un acronimo appropriato per l'ambiente di sicurezza, dove la fiducia è fondamentale.
La missione della FIDO Alliance è "ridurre la dipendenza mondiale dalle password". Ciò che è iniziato nel 2009 come la visione di PayPal e Validity Sensors per uno standard industriale che permettesse l'uso della biometria per l'identificazione degli utenti online al posto delle password è diventato proprio questo.
Oggi i membri della FIDO Alliance includono leader tecnologici globali nei settori dell'impresa, dei pagamenti, delle telecomunicazioni, del governo e della sanità e includono giganti tecnologici come Amazon, Alibaba, Facebook e Google. I siti web e le app abilitati FIDO ora raggiungono oltre 3 miliardi di utenti commerciali.
Cosa sono gli standard FIDO?
Gli standard FIDO offrono una serie di specifiche aperte e scalabili come il Universal Authentication Framework (UAF), il Universal Second Factor (U2F) e FIDO2, permettendo un'esperienza di autenticazione utente più semplice e sicura.
Rende l'identificazione dell'utente più facile con sistemi biometrici, autenticazione multi-fattore (MFA) e altre alternative su siti web e applicazioni. Si enfatizza un modello centrato sul dispositivo, dove si utilizza la crittografia a chiave pubblica standard, dove un utente è sfidato a dimostrare il possesso della chiave privata attraverso vari modi.
Vuoi saperne di più su Software di Autenticazione a più Fattori (MFA)? Esplora i prodotti Autenticazione a più fattori (MFA).
Come funziona FIDO?
Quando un utente crea un account o si registra su un servizio online che utilizza lo standard FIDO, il dispositivo genera un set di chiavi crittografiche. Il sistema registra la chiave pubblica con i servizi online e memorizza la chiave privata sul dispositivo.
Durante l'autenticazione, il sistema sfida l'utente a dimostrare il possesso della chiave privata. Puoi farlo attraverso diversi metodi di autenticazione abilitati FIDO come autenticazione biometrica, riconoscimento facciale, autenticazione multi-fattore e altro. Puoi usare la tua chiave privata localmente sul dispositivo dopo averla sbloccata con metodi sicuri, che includono lo scorrimento di un dito, parlare nel microfono, inserire un pin o premere un pulsante.
I protocolli FIDO mantengono la privacy dell'utente protetta mentre approfitti dell'accesso rapido e sicuro ai servizi online. In nessun caso i protocolli FIDO forniscono informazioni ai servizi online con cui possono collaborare e tracciare l'utente attraverso i servizi.
Specifiche FIDO
FIDO fornisce le seguenti specifiche per ridurre le ridondanze di ricordare password complesse e affrontare la mancanza di interoperabilità tra dispositivi di autenticazione forte.
Universal Authentication Framework (UAF)
L'Universal Authentication Framework è stato pubblicato nel 2014 ed era destinato a facilitare l'autenticazione senza password attraverso la biometria. Secondo UAF, quando un utente si autentica a un servizio o applicazione, verrà sfidato da uno o più fattori di sicurezza sul proprio dispositivo digitale. Una volta superati, la chiave privata verrà rilasciata, il che può aiutare l'utente a superare una sfida emessa dal server FIDO UAF.
Il meccanismo utilizzato dall'utente per verificare sul dispositivo può essere biometrico, basato sul possesso o sulla conoscenza per ottenere la chiave privata e completare il processo di autenticazione. La specifica UAF guida anche sulla creazione e gestione di più politiche per la verifica delle transazioni. Questo standard FIDO è utilizzato da diverse organizzazioni per migliorare la loro sicurezza e fornire un'esperienza utente soddisfacente sia ai clienti che ai loro team.
Universal Second Factor (U2F)
Lo standard U2F stabilisce linee guida per rafforzare e semplificare l'autenticazione a due fattori (2FA) utilizzando la comunicazione in prossimità (NFC) o dispositivi USB basati su una tecnologia simile alle smart card. È stato inizialmente sviluppato da Yubico e Google con contributi da NXP semiconductors.
Il design dello standard ruota attorno ai dispositivi USB che comunicano con il sistema host utilizzando il protocollo del dispositivo di interfaccia umana (HID), semplicemente imitando una tastiera. Permette a un browser di accedere alle funzionalità di sicurezza del dispositivo ed elimina la necessità di installare un software driver hardware specifico per leggere il dispositivo USB.
Una volta che il computer host legge il dispositivo USB e si stabilisce una comunicazione, viene condotta un'autenticazione a sfida-risposta dove il dispositivo utilizza tecniche di crittografia a chiave pubblica e una chiave dispositivo unica. Browser come Google Chrome, Opera, Firefox, Safari e Thunderbird supportano le specifiche U2F utilizzando chiavi di sicurezza U2F come metodo aggiuntivo di verifica in due passaggi sui servizi online.
Client to Authenticator Protocol (CTAP)
CTAP consente a un autenticatore crittografico itinerante come un telefono cellulare o una chiave di sicurezza hardware di garantire l'interoperabilità con un dispositivo client come un laptop. Completa lo standard WebAuthentication (WebAuthn) pubblicato dal consorzio World Wide Web (W3C).
Il protocollo si basa sullo standard di autenticazione U2F rilasciato dalla FIDO Alliance. U2F e WebAuth sono stati la base dello sviluppo dello standard FIDO 2.0. La specifica CTAP si riferisce a due protocolli CTAP1 e CTAP2. CTAP 1, il nuovo nome per il protocollo FIDO U2F, guida sulla comunicazione con autenticatori abilitati FIDO U2F e browser e sistemi operativi abilitati FIDO2 per abilitare l'autenticazione a due fattori.
D'altra parte, CTAP 2 definisce i modi in cui browser e sistemi operativi abilitati FIDO2 possono comunicare con autenticatori esterni come dispositivi mobili o chiavi di sicurezza FIDO per facilitare l'autenticazione senza password, a due fattori o multi-fattore.
FIDO2
Lo scopo di FIDO2 è abilitare l'autenticazione senza password. È costruito su U2F e una versione ampliata di CTAP. Lo standard consente alle autenticazioni di diventare senza password sfruttando l'API web – WebAuthn.
FIDO2 elimina il rischio causato dalla cattiva gestione delle password poiché le sue credenziali di accesso crittografiche sono uniche per ogni sito web e non sono memorizzate su un server ma localmente sul dispositivo dell'utente.
Il flusso di comunicazione definito da FIDO2 è:
- Si stabilisce una connessione tra l'applicazione (o il browser) e l'autenticatore.
- L'applicazione riconosce le capacità dell'autenticatore e ottiene informazioni su di esso utilizzando il comando authenticatorGetInfo.
- Un comando operativo viene inviato dall'applicazione all'autenticatore se trovato capace.
- L'autenticatore invia dati di risposta o un messaggio di errore.
Prima di eseguire questo protocollo, è importante che l'autenticatore esterno e l'host stabiliscano un canale di trasporto dati sicuro e autenticato reciprocamente.
Chi usa FIDO?
FIDO aiuta le organizzazioni a mitigare i rischi critici di una violazione dei dati emergente a causa di password deboli o cattiva gestione delle password. Permette alla tua azienda di risparmiare sui costi associati alla fornitura di dispositivi, al reset delle password, al supporto clienti e altro, fornendo un'esperienza utente senza interruzioni.
70%
è il costo medio del lavoro del help desk per un singolo reset della password.
Fonte: FIDO Alliance
A causa di tali benefici e di una varietà di altri, i casi d'uso di FIDO si trovano in diverse organizzazioni e istituzioni.
Sanità e assicurazioni
Nel settore sanitario, l'autenticazione FIDO aiuta a garantire che i dettagli dei pazienti come cartelle cliniche, informazioni personali e altri dati sensibili siano accessibili solo a loro oltre che ai fornitori fidati.
Assicura ai pazienti che le loro informazioni siano custodite da autorità affidabili che aderiscono a standard come l'Health Insurance Portability and Accountability Act (HIPAA). Avvolge i sistemi medici e le unità sanitarie con un forte strato protettivo di sicurezza per prevenire un attacco informatico.
Le compagnie assicurative utilizzano l'autenticazione tramite protocolli FIDO per garantire di avere un'autenticazione forte in atto.
Organizzazioni aziendali
Nelle aziende, FIDO semplifica il processo di autenticazione degli utenti rendendolo veloce e conveniente mentre fornisce autenticazione. FIDO è tipicamente utilizzato per facilitare l'autenticazione degli utenti nel loro ciclo di vita all'interno di un'organizzazione. Permette agli utenti di condurre transazioni di pagamento sicure e mantiene uno strato di sicurezza protettivo attorno alle loro firme digitali.
In ambienti ancorati agli standard di autenticazione FIDO, gli utenti possono possedere diversi autenticatori allo stesso tempo, come uno per un laptop e un altro per un dispositivo mobile. Al momento della registrazione dell'utente, le credenziali FIDO sono registrate su un autenticatore locale e sono legate a un account utente specifico, che viene utilizzato durante la fase di autenticazione.
Ad esempio, dove un utente ha perso il dispositivo di autenticazione, gli standard FIDO permettono agli amministratori di revocare e cancellare le credenziali, che possono essere create su un altro dispositivo seguendo il processo di registrazione. Nei casi in cui le credenziali FIDO devono essere rinnovate, gli amministratori assicurano che lo stesso livello di sicurezza sia applicato come nel processo di registrazione. Inerentemente, lo standard FIDO non supporta il concetto di rinnovo delle credenziali, quindi qualsiasi processo di rinnovo dovrà essere progettato nel sistema che supporta l'autenticazione FIDO.
Servizi finanziari
Le banche e i fornitori di servizi finanziari hanno ampliato il loro ambito di consegna per raggiungere i clienti ovunque si trovino. Con il banking online e mobile, i clienti possono utilizzare i servizi finanziari lontano dalle filiali designate, portando a una maggiore domanda di sicurezza di autenticazione robusta.
I protocolli FIDO rispondono a questa esigenza fornendo standard di autenticazione sicuri per banche e istituzioni finanziarie, dove gli utenti sono soddisfatti di un'esperienza bancaria facile e diretta.
Governo
Le agenzie governative possono utilizzare FIDO per fornire un'autenticazione multi-fattore o basata su dispositivi mobili veloce e sicura ai servizi online. Lo standard supporta le credenziali di verifica dell'identità personale (PIV) derivate, che permettono l'emissione di credenziali di infrastruttura a chiave pubblica (PKI) basate sul possesso di smart card PIV. Consente agli utenti di ottenere un accesso rapido e sicuro a informazioni e app critiche.
Vai oltre le password
Implementa gli standard FIDO per eliminare i rischi associati a password deboli o rubate. Fornisci al tuo team un'autenticazione senza password per offrire loro un'esperienza di accesso senza interruzioni mantenendo una sicurezza robusta attorno alle tue applicazioni e servizi online.
Scopri di più sui tipi di metodi di autenticazione senza password che puoi introdurre nella tua organizzazione.
Sagar Joshi
Sagar Joshi is a former content marketing specialist at G2 in India. He is an engineer with a keen interest in data analytics and cybersecurity. He writes about topics related to them. You can find him reading books, learning a new language, or playing pool in his free time.
