استاندارد احراز هویت FIDO
استاندارد احراز هویت FIDO مهمترین محصول FIDO یا اتحاد Fast IDentity Online به عنوان یک انجمن باز صنعتی است که در فوریه 2013 به منظور توسعه استانداردهای احراز هویت برای کاهش وابستگی بیش از حد جهان به گذرواژهها راهاندازی شده است. FIDO مجموعهای از مشخصات فنی امنیتی فناوری محور بر احراز هویت به ویژه احراز هویت قوی است که توسط اتحاد FIDO به عنوان یک سازمان غیرانتفاعی توسعه داده میشود. مشخصات فنی FIDO از احراز هویت چندعاملی و رمزنگاری کلید عمومی پشتیبانی میکند. این استاندارد برخلاف پایگاههای داده گذرواژه میتواند اطلاعات قابل شناسایی شخصی[1] (PII) نظیر دادههای احراز هویت بیومتریک را برای محافظت بیشتر بر روی دستگاه کاربر ذخیره نماید. ذخیرهسازی محلی دادههای احراز هویت به منظور کاهش نگرانیهای کاربر در مورد دادههای شخصی ذخیره شده در سرورها و دیگر فضاهای ابری است.
بیشتر بخوانید: مقدمهای بر استاندارد OAuth
FIDO از پروتکلهای چارچوب احراز هویت جهانی[2] (UAF) و فاکتور ثانویه جهانی [3] (U2F) پشتیبانی میکند. UAF به کاربران اجازه میدهد تا در هنگام ثبتنام در یک سرویس آنلاین یک زوج کلید جدید ایجاد نمایند. کلید خصوصی زوج کلید جدید بر روی دستگاه کاربر ذخیره میشود و کلید عمومی در اختیار سرویسدهنده قرار میگیرد. دستگاه کاربر در زمان احراز هویت با بهرهگیری از این مکانیزم به واسطه امضای یک چالش تنها مالکیت کلید خصوصی را به سرویسدهنده اثبات میکند. احراز هویت قوی FIDO از طریق پروتکل U2F انجام میشود که نیازمند استفاده از توکنهای امنیتی سختافزاری است. دستگاه سازگار با FIDO کاربر در فرآیند ثبت نام یک زوج کلید جدید تولید میکند و تنها کلید عمومی را در اختیار سرویسدهنده قرار میدهد. این پروتکل برای احراز هویت نیز از امضای چالش ایجاد شده بین کاربر و سرویسدهنده با کلید خصوصی استفاده میکند.
FIDO راهکاری برای دنیای بدون پسورد
گذرواژهها مشکلات متعددی برای کاربران دنیای آنلاین ایجاد کردهاند. بیش از 80 درصد نشتهای دادهای به دلیل استفاده از گذرواژههای نامناسب است. هر کاربر فضای سایبری به طور متوسط دارای 90 حساب کاربری است که در بیشتر از نصف آنها از گذرواژههای تکراری استفاده کرده است. استاندارد باز FIDO راه کاملی برای چالش گذرواژه ایجاد کرده است. از مهمترین مزایای این پروتکل برای سازمانها عبارتند از:
FIDO امکان احراز هویت بدون گذرواژه و احراز هویت چندعاملی با استفاده از مکانیزمهایی مانند کلید امنیتی، تشخیص چهره، اثر انگشت و تشخیص صوت را فراهم میآورد. این استاندارد از قابلیت استفاده در نهادهای دولتی و سازمانهای خصوصی در صنایع مختلفی نظیر بانک، مؤسسات مالی، بیمه، اپراتورهای مخابراتی، بهداشت و درمان برخوردار است.
نحوه عملکرد استاندارد احراز هویت FIDO
پروتکلهای FIDO از تکنیکهای استاندارد رمزنگاری عمومی برای احراز قوی استفاده میکنند. کاربر در هنگام ثبتنام در سرویس آنلاین یک زوج کلید ایجاد میکند. کلید خصوصی در دستگاه کاربر ذخیره میشود و کلید عمومی در اختیار سرویسدهنده قرار داده میشود. کاربر در زمان احراز هویت باید مالکیت کلید خصوصی را از طریق امضای چالش ایجاد شده توسط سرویسدهنده اثبات نماید. کلیدهای خصوصی کاربر تنها پس از باز شدن قفل محلی ایجاد شده در دستگاه کاربر قابل استفاده هستند. باز کردن قفل محلی از طریق یک اقدام امن و کاربر پسند نظیر کشیدن انگشت، استفاده از اثر انگشت، ایجاد PIN، صحبت کردن در میکروفون، وارد کردن یک دستگاه ثانویه یا فشردن یک دکمه انجام میشود.
بیشتر بخوانید: احراز هویت مبتنی بر ریسک در بانکداری دیجیتال
پروتکلهای FIDO از ابتدا با ذهنیت محافظت از حریم خصوصی کاربر طراحی شدهاند. این پروتکلها هیچ گونه اطلاعاتی در اختیار سرویسهای آنلاین قرار نمیدهند که امکان اشتراک یا استفاده از آن برای رهگیری کاربر در بین سرویسهای مختلف وجود داشته باشد. اطلاعات بیومتریک مورد استفاده هیچ گاه از دستگاه کاربر خارج نمیشوند.
ثبتنام FIDO
- کاربر باید یکی از مکانیزمهای احراز هویت FIDO را مطابق با سیاست پذیرش سرویس آنلاین انتخاب کند؛
- کاربر احراز هویت کننده FIDO را با استفاده از اثرانگشت، وارد کردن PIN، کلیک بر روی یک دکمه یا مکانیزمهای دیگر باز میکند؛
- دستگاه کاربر یک زوج کلید خصوصی/ عمومی جدید و منحصربهفرد برای دستگاه او، سرویس آنلاین و حساب کاربری او ایجاد میکند؛
- کلید عمومی به سرویس آنلاین فرستاده میشود و به حساب کاربری متصل میشود. کلید خصوصی و هر گونه اطلاعات دیگر در مورد روش احراز هویت محلی مانند قالب یا روش سنجش خصیصه بیومتریک به صورت محلی و بر روی دستگاه کاربر باقی میماند.
ورود استاندارد احراز هویت FIDO
- سرویس آنلاین کاربر را به سمت ورود با دستگاه ثبت شده و حل چالشی هدایت میکند که مطابق با سیاست پذیرش سرویس است؛
- کاربر احراز هویت کننده FIDO را با بهرهگیری از روش مورد استفاده در زمان ثبتنام باز میکند؛
- دستگاه از شناسه حساب کاربری ارائه شده توسط سرویسدهنده به منظور انتخاب کلید درست و امضای چالش ایجاد شده توسط سرویس استفاده میکند؛
- دستگاه کاربر، چالش امضا شده را به سرویسدهنده میفرستد. چالش دریافتی برای تأیید هویت کاربر با کلید عمومی ذخیره شده و اعطای مجوز ورود به کاربر استفاده میشود.
کتاب راهنمای احراز هویت FIDO
گزارش The FIDO Authentication Handbook از مقالاتی است که در سال 2021 توسط شرکت THALES منتشر شده است . نسخه ترجمه شده این گزارش به همت کارشناسان مجموعه برهان در اختیار علاقهمندان به مدیریت هویت و دسترسی قرار گرفته است.
نوسیندگان: تورج اکبری، محمدصالح میثمی
[1] Personally Identifiable Information (PII)
[2] Universal Authentication Framework (UAF)
دیدگاه خود را ثبت کنید
تمایل دارید در گفتگوها شرکت کنید؟در گفتگو ها شرکت کنید.