Che cos'è Fast Identity Online (FIDO)?

0
1940
Che cosè Fast Identity Online FIDO
Che cosè Fast Identity Online FIDO

Questo articolo descrive in dettaglio cos'è FIDO, gli obiettivi dell'alleanza FIDO, come funziona la tecnologia e i diversi protocolli coinvolti: UAF e U2F.

Che cos'è FIDO?

In sostanza, FIDO è l'autenticazione del dispositivo che non richiede una password.

Si stima che l'utente medio abbia più di 90 account online, quindi non dovrebbe sorprendere il fatto che le password siano la causa dell'80% delle violazioni dei dati in tutto il mondo, soprattutto se si considera che circa il 50% di queste password verrà riutilizzato in un varietà di siti Web.

Quando è necessario reimpostare una password, è necessario un intervento di manutenzione sentito, che equivale a circa $ 70 ogni volta che è richiesto un ripristino della password. Le password tradizionali sono anche un problema per i rivenditori online e si ritiene che un terzo degli acquisti di e-commerce sia abbandonato a causa della mancata memorizzazione delle password da parte degli utenti.

Fortunatamente, esiste un'alternativa alla password tradizionale, ovvero l'autenticazione FIDO. Questa alternativa sicura sostituisce l'accesso con password con autenticazione semplice, rapida e affidabile su entrambi i siti Web e le applicazioni. L'autenticazione FIDO si basa su standard gratuiti e aperti sviluppati da FIDO Alliance. I protocolli della tecnologia utilizzano la crittografia a chiave pubblica standard per fornire un'autenticazione forte e affidabile.

FIDO assume molte forme diverse, incluso l'uso della biometria dell'utente per identificare l'individuo, incluso il riconoscimento vocale e facciale e i dispositivi di autenticazione di secondo fattore. Una caratteristica centrale di FIDO è l'uso di un dispositivo personale come uno smartphone o un token che utilizza chiavi crittografiche per consentire l'accesso sicuro ai servizi correlati a FIDO, come Google, Facebook e PayPal.

La tecnologia offre una maggiore sicurezza dei dispositivi mobili ed è supportata in modo nativo su entrambe le piattaforme e i browser, inclusi Windows 10 e Android, Google Chrome, Safari e Firefox.

Cos'è l'Alleanza FIDO?

FIDO Alliance è un'organizzazione senza fini di lucro che mira a ridurre il numero complessivo di password utilizzate in tutto il mondo sviluppando standard di autenticazione aperti e sicuri che siano facili da usare e che possano essere facilmente implementati e gestiti dai fornitori di servizi.

L'organizzazione è stata fondata da PayPal, Lenovo, Nok Nok Labs, Infineon e Agnito quando sono iniziate le ricerche sullo sviluppo dell'autenticazione senza password ed è stato lanciato ufficialmente nel febbraio 2013.

Nonostante PKI e soluzioni di autenticazione efficaci esistano da anni, l'esperienza dell'utente è stata vista come negativa ed è stata responsabile del blocco dell'adozione diffusa. Vi è stata anche resistenza da parte dei fornitori di servizi online che volevano evitare i costi e la complessità dello sviluppo e dell'implementazione delle proprie soluzioni.

Una grande parte dei fornitori FIDO fornisce i mattoni dei sistemi di autenticazione, ma lascia alle organizzazioni la possibilità di crearli e implementarli sui loro SDK. Nel caso delle grandi imprese, questo può essere un processo lungo e può richiedere anni, il che a sua volta porta a ciò che è noto nel settore come "Zombi FIDO". Si tratta di organizzazioni che acquistano e prevedono di utilizzare un prodotto FIDO ma non lo distribuiscono effettivamente.

Questa barriera è motivo di preoccupazione per l'Alleanza FIDO e sta attualmente lavorando per superare questi ostacoli:

  • Sviluppo di specifiche tecniche che aiutano a definire un insieme aperto interoperabile di meccanismi che sono scalabili e riducono la dipendenza dalle password per l'autenticazione dell'utente.
  • Programmi operativi di certificazione del settore che aiutano a garantire l'adozione globale delle specifiche FIDO
  • Produzione e presentazione di specifiche tecniche a organizzazioni riconosciute per la standardizzazione formale globale.

Come funziona FIDO?

FIDO è una tecnologia che si basa sulla crittografia a chiave pubblica, in cui esiste una coppia di chiavi: una chiave pubblica e una chiave privata. Quando un utente si registra con un servizio online, il dispositivo client dell'utente crea una nuova coppia di chiavi. La chiave privata viene quindi memorizzata e quella pubblica viene registrata con il servizio online.

Per autenticarsi, il dispositivo client è tenuto a dimostrare il possesso della chiave privata del servizio. Queste chiavi private devono essere sbloccate localmente sul dispositivo dall'utente prima che possano essere utilizzate. È possibile sbloccare il dispositivo utilizzando la biometria o inserendo un PI o inserendo un dispositivo di secondo fattore: è essenziale che l'azione di sblocco sia intuitiva e sicura.

Inoltre, la privacy dell'utente è una preoccupazione fondamentale e se vengono utilizzate informazioni biometriche, non devono mai lasciare il dispositivo dell'utente. È severamente vietato utilizzare queste informazioni per tracciare gli utenti attraverso altri servizi.

UAF e U2F

La tecnologia supporta due diversi set di protocolli: a dicembre 2014 sono stati completati il ​​protocollo senza password v1.0 completato (chiamato FIDO Universal Authentication Framework, FIDO UAF e il protocollo di secondo fattore (chiamato FIDO Universal Second Factor, FIDO U2F) e rilasciato.

UAF

Universal Authentication Framework (UAF) è stato progettato per essere un metodo di autenticazione semplice ma sicuro.

Quando si registra con un servizio online, il dispositivo dell'utente deve dimostrare il possesso della chiave privata firmando una sfida. Ciò include metodi come l'immissione di un PIN o l'impronta digitale.

U2F

Questa tecnologia è stata progettata per sostituire in modo affidabile l'autenticazione semplice. Richiede un secondo fattore di autenticazione, incluso un token USB o un tocco Near Field Communication (NFC).

Durante l'accesso, l'utente è tenuto a inserire e toccare il proprio dispositivo U2F personale. Il dispositivo abilitato FIDO crea quindi una nuova coppia di chiavi e la chiave pubblica viene quindi condivisa con il servizio online e associata all'account dell'utente. L'utente viene quindi autenticato dal servizio richiedendo che il dispositivo registrato firmi una sfida con la chiave privata.

% MCEPASTEBIN%