FIDO چیست؟ احراز هویت بدون رمزعبور
امروزه بسیاری از اطلاعات حساس در فضای وب تبادل میشود و بسیاری از سامانهها به صورت برخط عمل میکنند. در چنین فضایی، دیگر استفاده از رمزهای عبور ثابت کارایی نداشته و خطرات زیادی را متوجه کاربران خواهد نمود. تلاشها برای بهبود فرآیند احراز هویت با روشهای چندعاملی (MFA) و یکبار رمزها، تا حدی تهدیدات را کاسته است. هرچند این روشها نیز همچنان در برابر بسیاری از حملات آسیبپذیر هستند. در نتیجه استانداردهای جدیدی در این حوزه همچون FIDO یا FIDO2، برای کمک به افراد و سازمانها ظهور کرده است.
ظهور اتحاد FIDO
گسترش حملات سایبری و آسیبهای آن به سازمانها، بازیگران اصلی حوزه امنیت را در کنار هم جمع نمود. این اتحاد آغازی برای ارائه یک راهحل مناسب در خصوص احراز هویت برخط بود. کلمه FIDO مخفف Fast Identity Online است که نشان از تمرکز این مجموعه به راهکارهای احراز هویت برخط دارد. خروجی این همکاری، مجموعهای از استانداردهای متنباز است که از مهمترین آنها میتوان به FIDO اشاره نمود.
FIDO یا FIDO2 چیست؟
“>FIDO و همچنین نسخه دوم آن یعنی FIDO2، یک استاندارد متنباز است. این استاندارد برای احراز هویت بدون گذرواژه با روشهای اعتبارسنجی قوی مبتنی بر رمزنگاری نامتقارن توسعه داده شده است. دو پروتکل WebAuthn و CTAP (Client to Authenticator Protocol) مولفههای اصلی این استاندارد هستند. اولی در مرورگرهای وب، و دومی برای برقراری ارتباط بین رایانه و دستگاه (کلید) کاربر مورد استفاده قرار میگیرند.
WebAuthn (Web Authentication)
پروتکل WebAuthn امکان احراز هویت کاربران با روشهایی مانند اثر انگشت، یا تشخیص چهره را برای وبسایتها فراهم میکند. این پروتکل با استفاده از رمزنگاری عمومی (کلیدهای عمومی و خصوصی)، امنیت بالایی را در فرآیند احراز هویت ارائه میدهد. با WebAuthn، کاربران میتوانند بدون نیاز به رمزعبور، با شیوه بایومتریک به وبسایتها و خدمات آنلاین دسترسی پیدا کنند. این استاندارد توسط W3C (کنسرسیوم وب جهانی) توسعه داده شده و در بسیاری از مرورگرها و سیستمعاملها پشتیبانی میشود.
CTAP
CTAP یک پروتکل برای برقراری ارتباط بین دستگاه احراز هویت (Authenticator) و سیستم کاربر است. دستگاه احراز هویت میتواند یک دستگاه سختافزاری فیزیکی مانند کلید USB یا یک نرمافزار موجود در تلفن همراه باشد. این پروتکل با تبادل درخواستها و پاسخها مبتنی بر رمزنگاری عمومی، احراز هویت دو عاملی را پیادهسازی میکند. ترکیب دو پروتکل CTAP و WebAuthn، در مجموع استاندارد FIDO را شکل میدهد. این ترکیب به کاربران اجازه میدهد با یک کلید امنیتی، امن و ساده و بدون رمزعبور، احراز هویت شوند.
Web Authentication چگونه کار میکند؟
پروتکل WebAuthn به وبسایتها امکان میدهد برای احراز هویت از روشهایی مانند اثر انگشت یا تشخیص چهره استفاده کنند. این پروتکل از رمزنگاری کلید عمومی استفاده میکند و امنیت بالایی را برای فرآیند احراز هویت فراهم مینماید. با WebAuthn، نیازی به رمز عبور نیست. کاربران با روشهای بایومتریک به سامانهها و سرویسهای آنلاین دسترسی پیدا کنند. این استاندارد توسط سازمان جهانی W3C توسعه داده شده است. در نتیجه بسیاری از مرورگرها و سیستمعاملها از آن پشتیبانی میکنند.
انتخاب دستگاه احراز هویت
کاربر باید دستگاه احراز هویت را انتخاب کند. این دستگاه میتواند یک کلید امنیتی فیزیکی USB، دستگاه تشخیص اثر انگشت یا تشخیص چهره باشد.
احراز هویت دستگاه
سپس دستگاه خود را با کلید عمومی مربوط به خود (ایجاد شده در مرحله ثبتنام) به وبسایت معرفی میکند. این احراز هویت از طریق یک فرآیند رمزنگاری امن انجام میشود.
پاسخ به چالش
دستگاه پاسخی را به همراه چالش ارسال شده توسط وبسایت ایجاد میکند و آن را امضا مینماید. این امضا با استفاده از کلید خصوصی مربوط به دستگاه احراز هویت انجام میشود.
تأیید احراز هویت
وبسایت دریافت پاسخ و امضای دستگاه را تأیید میکند. در صورتی که تأیید با موفقیت انجام شود، کاربر به وبسایت وارد میشود.