בלוג fido

עשור של זהות פדרציה - האם FIDO מאומצת?

השיחה סביב הסרת סיסמאות והבטחת תהליכי אימות חלקים ומאובטחים יותר נמשכה כבר שנים. ככל ש-FIDO Alliance מגייסת עוד שותפים וממשיכה להכריז על הישגים, איך בעצם נראה האימוץ שלה? דן רייווד מסתכל לתוך העשור הראשון של הזהות הפדרציה.

השנה מלאו עשר שנים לנטילת הזרעים הראשונים לברית FIDO (Fast Identity Online). באותה פגישה ראשונה, ביום האהבה 2013, המפגש של מנהיגי ברית FIDO קבע מה ברית FIDO נועד לעשות ומה היו הצעדים הבאים שלו.

קונסורציום תעשייתי פתוח "המספק סטנדרטים לאימות פשוט וחזק יותר", הרעיון היה לתקן תעשייתי פתוח לאימות מאובטח מקוון ונייד. המורכב משמות משפיעים מטכנולוגיה, שירותים פיננסיים ואתרי אינטרנט גדולים, האידיאולוגיה של ברית FIDO הייתה "לאפשר אימות פשוט וחזק יותר להרחבה בשוק".

המוצר הראשון הגיע 18 חודשים לאחר מכן כאשר גוגל השקתי את מפתח אבטחה, פריסת האימות הראשונה של FIDO Universal Second Factor (FIDO U2F). זה היה מכשיר USB פיזי בעל גורם שני שהציע חלופה לקודי סיסמה חד-פעמיים בני שש ספרות. בשנה שלאחר מכן שוחררו כמאה מוצרים עם אישור FIDO, ועלו ל-150 עד ש- FIDO Alliance ציינה את יום השנה השני שלה.

עם זאת, כמה שנים לחייו, הוצג תקן FIDO2, המאפשר למשתמשים "למנף מכשירים נפוצים כדי לבצע אימות בקלות לשירותים מקוונים בסביבות ניידות וגם בסביבות שולחניות".

FIDO2 מבוסס על שני תקנים: WebAuthn ו-Client to Authenticator Protocol (CTAP), ובנוי סביב אבטחה ונוחות: אבטחה שכן פרטי הכניסה ייחודיים בכל אתר אינטרנט, לעולם אינם עוזבים את המכשיר של המשתמש ואינם מאוחסנים בשרת; ונוחות, כאשר משתמשים פותחים אישורי כניסה קריפטוגרפיים עם שיטות מובנות כגון קוראי טביעות אצבע או מצלמות במכשירים שלהם, או על ידי מינוף מפתחות אבטחה של FIDO.

אולי התמיכה החזקה ביותר הייתה מאפל בשנה שעברה, אז הודיעה על השקה של ה-Passkey התומך ב-FIDO2, אשר בנוי על WebAuthn, ושבו נעשה שימוש בשילוב של מפתח ציבורי ופרטי ותואם ל-Touch ID ול-Face ID.

האם FIDO 2 מאומץ היטב על ידי התעשייה?

בכל השנים הללו, עד כמה הפך תקן FIDO2 למקובל ומאומץ? אנדרו שיקיאר, המנכ"ל של FIDO Alliance, אומר שהתפיסה הראשונית של ברית FIDO הייתה "פתור את בעיית פריצת המידע מכיוון שסיסמאות גרמו לרובן הגדול, ואם ניקח אותן, הבעיה נעלמת".

במונחים של אימוץ בתעשייה, ברית FIDO ברומטר אימות מאוקטובר 2022 גילה שהשימוש בסיסמאות ירד בתחומים שהוא ניטר, בעוד שהאימוץ של אימות רב-גורמי באמצעות קוד סיסמה חד פעמי של SMS גדל.

שיקיאר מאמין שהאימוץ של FIDO2 ממשיך לגדול, במיוחד עם הקנייה מדפדפני אינטרנט, שבהם מיקרוסופט וגוגל "בנו אימוץ שמאפשר ל-FIDO להיות בעמדה לקחת סיסמאות".

Shikiar אומר שלאדם ממוצע, אנשים כמו WebAuthn נשארים לא מוכרים בדרך כלל. ובכל זאת, האימוץ המוגבר של FIDO2 פירושו הגברת ה-MFA והפחתת השימוש בסיסמאות, מה שיכול להוביל ליותר יתרונות עסקיים. "עסקים יראו יותר זמן פעילות של העובדים ושיעור ההצלחה גבוה יותר, ועלויות ה-IT ירדו", מה שמוביל גם לחיסכון בעלויות וגם לעובדים מאושרים יותר.

חברה אחת שראתה את היתרון היא מעבר לזהות, שהודיעה שקיבלה אישור FIDO2 בתחילת 2023. ספקית של מוצרי MFA ללא סיסמה, סמנכ"ל השיווק שלה, Patrick McBride, אומר ש-FIDO2 מועיל Beyond Identity במספר דרכים. "בחזית הטכנולוגיה, זה נותן לנו דרך סטנדרטית למנף מפתחות סיסמה ודרכים מרובות לשילוב עם טכנולוגיות אחרות תואמות FIDO2."

האם היה כדאי להיות תואם FIDO2 כחברה ולהצטרף ליוזמה זו? McBride אומר שכן, שכן Beyond Identity הוא "חבר ברית FIDO נושאת כרטיסים רב שנים" עם מספר תוכניות מוצר נוספות על מפת הדרכים שימנפו חלקים שונים של תקן FIDO2.

"אז אנחנו מאמינים שמיץ FIDO בהחלט שווה את הסחיטה - הן בחזית הטכנית והן בחזית החינוך השוק."

FIDO קובע את התקן

מכיוון ש-FIDO אומצה היטב על ידי שמות מקוונים בולטים, האם היא ראויה כעת להיחשב כאחד מתקני אבטחת הסייבר המשמעותיים? שיקיאר מסכים ואומר כי אימות חזק הוא "עדיפות עליונה לעסקים", מכיוון שהוא מאפשר לעובדים פרודוקטיביים יותר וקצב כניסה טוב יותר. במקרה אחד, עסק ראה שורת רווח מוגברת בשל כך. "אנחנו משקיעים בחוויית משתמש, מכיוון שאנשים יידחו אם זה יהיה מסובך מדי", הוא אומר.

השלב הבא לאימוץ FIDO2 יהיה כאשר הוא יקבל מנדט על ידי הרגולטורים ואולי אפילו ספקי ביטוח סייבר להבטיח סוג מאובטח ומוכח יותר של אימות כדי להפחית טוב יותר את הסיכויים לפריצת מידע ולהסיר סיסמאות.

ג'ונתן ארמסטרונג הוא שותף ב חוטי ואמר שאמנם אינו מודע לאיזו רגולציה הדורשת אימות חזק, אך לא ישלול זאת מלהתרחש בעתיד. "לעתים קרובות החוק והרגולציה לאבטחת מידע עוקבים אחר אירועים", הוא אומר. אם יש הפרה משמעותית ונדרש שינוי על ידי דעת הקהל, אז זה המקום שבו כלל לאימות חזק יותר יכול להיכנס לתוקף. "יש מדינות שיכולות להוסיף דברים כאלה ליישום המקומי שלהן של ₪ II; עוד לא שמעתי על זה, אבל זו בהחלט אפשרות".

בנוסף לגורמים רגולטוריים, ישנם גם שיקולי ביטוח סייבר, ושיקיאר אומר שאימוץ FIDO2 הוא משהו שיכול לסייע במדיניות טובה יותר שכן הוא מראה שהחברה מוגנת יותר. "צעד פשוט לאימוץ FIDO עבור MFA יכול לתת מענה לאיום מספר אחד ויעזור להניע אימוץ נוסף."

במהלך העשור האחרון, ראינו מקרים רבים של פרצות מידע ואובדן סיסמאות, ועסקים ממשיכים להיאבק בבעיה זו ובזו של שמירה על עובדים מקוונים ויכולת לגשת למכשירים, מחשבים שולחניים ואפליקציות. האימוץ של FIDO2 מעורר גלים כדי לאפשר לעסקים להיות בטוחים יותר מפני בעיה נפוצה, ויש לברך על יותר ארגונים שמשיגים תאימות.

 

חזקו את אבטחת המידע שלכם עוד היום

אם אתה מחפש להתחיל את המסע שלך לאבטחת מידע טובה יותר, אנחנו יכולים לעזור.

פתרון ה-ISMS שלנו מאפשר גישה פשוטה, מאובטחת ובת קיימא לאבטחת מידע וניהול נתונים עם ISO 27001 ולמעלה מחמישים מסגרות נוספות. הבינו את היתרון התחרותי שלכם עוד היום.

ספר הדגמה

מְחַבֵּר

דן רייווד

דן רייווד כתב על אבטחת IT מאז 2008, והוא אנליסט לשעבר ב-451 Research Practice. הוא דיבר בתערוכות כולל 44CON, SecuriTay, SteelCon, Irisscon ו-Infosecurity Europe, וכן כתב עבור מספר בלוגים של ספקים והציג בשידורי אינטרנט.

צפה בכל הפוסטים של דן רייווד

פוסטים קשורים

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף