تاییدیه فایدو

فایدو چیست؟

فایدو یک پروتکل متن باز احراز هویت جهت حذف رمزهای عبور و تهدیدهای امنیتی مرتبط با آنها می‌باشد. به منظور استفاده کاربران از پروتکل فایدو لازم است که مراحل ثبت نام و انتخاب روش احراز هویت (عامل بیومتریک) انجام گیرد. بدین ترتیب کاربران می‌توانند تنها با ارائه عامل بیومتریک شامل اثر انگشت یا تشخیص چهره (نگاه به دوربین) و یا وارد کردن پین در صورت عدم وجود عوامل قبلی، وارد سامانه‌ها و یا سرویس‌های سازگار با فایدو شوند. بدیهی است که این امر به قابلیتهای تلفن‌های همراه کاربران و نیز شیوه‌هایی که محصول یا سرویس با آن سروکار دارد بستگی خواهد داشت. روند احراز هویت از منظر کاربر بسیار ساده بوده و تنها کافی است عامل بیومتریک خود را ارائه دهد. سایر مراحل بدون اینکه به چشم بیاید، بطور غیرمحسوس در پشت صحنه انجام می‌شود. برای کسب اطلاعات بیشتر راجع به استاندارد فایدو، می‌توانید به وبسایت انجمن فایدو در این آدرس مراجعه نمایید.

امنیت فایدو

واضح است که به خاطر سپردن رمزهای عبور علاوه بر اینکه برای همه مشکل است، باید مرتباً تغییر داده شوند و چنانچه لازم باشد که رمز عبور مجددا تنظیم شود، می‌تواند نیازمند صرف وقت و هزینه نیز باشد. استاندارد فایدو به مشکل تعدد رمزهای عبور خاتمه داده و بهبود تجربه کاربر در ورود به سامانه‌ها را به صورت امن فراهم می‌نماید. پروتکل فایدو از رمزنگاری کلید عمومی استفاده می‌کند بطوریکه با رمز نمودن تمام اطلاعات تبادل شده، احراز هویت کاربر را ایمن سازد. کلیدهای خصوصی و اطلاعات بیومتریک (در صورت استفاده برای احراز هویت)، هرگز از دستگاه‌های کاربران خارج نمی‌شوند، در نتیجه احتمال شناسایی و سرقت آنها در حین انتقال کاهش یافته و فرآیندهای احراز هویت قوی‌تر و ایمن‌تر می‌شود.

استاندارد فایدو از پروتکل FIDO Client To Authenticator Protocol (CTAP) و استاندارد W3C، WebAuthn ساخته شده است که هر دو آنها با هم کار می‌کنند تا قابلیت احراز هویت بدون رمز عبور را برای کاربران فراهم نمایند. تجربیات ورود به سامانه بدون رمز عبور ممکن است به مدد احراز کننده‌های نهادینه شده، مانند بیومتریک، پین و یا دستگاه‌های USB باشد. WebAuthn یک API تحت وب استاندارد برای زیرساختها و مرورگرها جهت پشتیبانی از فایدو تعریف می‌کند که با احراز کننده‌های هویت CTAP ارتباط برقرار کرده تا واسطی برای ایجاد و مدیریت اعتبار کلید عمومی ارائه دهد. CTAP اجازه می دهد تا احرازکننده هویت (بخشی از رایانه یا تلفن همراه هوشمند کاربر، یا یک قطعه سخت‌افزار خارجی) به عنوان هر دو عامل اول و دوم احراز هویت استفاده شود.

هنگامی که کاربر برای اولین بار تلاش می کند به یک سرویس آنلاین دسترسی پیدا کند، از او خواسته می شود که ثبت نام انجام دهد. در طول ثبت نام، یک جفت کلید جدید تولید می‌شود که کلید خصوصی در دستگاه ذخیره شده و با شناسه و دامنه سرویس آنلاین مرتبط می‌شود، در حالی که کلید عمومی در پایگاه داده کلیدها روی یک سرور بصورت آنلاین ذخیره می شود. هر بار که کاربر سعی می کند به سرویس دسترسی پیدا کند، سرویس آنلاین از API ها برای تأیید اعتبار کاربر استفاده می کند. هنگامی که کاربر سعی می کند وارد یک برنامه کاربردی شود، سرویس‌دهنده فایدو، با استفاده از WebAuthn یک چالش برای کاربر (بر روی مرورگر، برنامه کاربردی روی کامپیوتر یا تلفن همراه هوشمند) ارسال می‌کند و از وی می‌خواهد که داده‌ها را با کلید خصوصی امضا کند. کاربر نیز با استفاده از یکی از روشهای احراز هویت با درخواست سرویس‌دهنده موافقت می‌کند. دامنه کنونی با دامنه‌ای که در زمان ثبت نام مرتبط شده بود بررسی می شود که این امر نشانگر مقاومت فایدو در برابر حملات فیشینگ است. در این فرآیند، سرویس گیرنده کلید خصوصی را از احراز کننده گرفته و به درخواست سرویس‌دهنده پاسخ می‌دهد به گونه‌ای که ثابت کند دستگاه حاوی همان کلید خصوصی است که برای دسترسی به سرویس آنلاین در اختیار کاربر است. از این پس ارتباطات در طول این فرآیند رمزگذاری شده بوده و کلیدهای خصوصی هرگز از دستگاه های کاربران خارج نمی شوند.