استاندارد احراز هویت FIDO

,
FIDO

استاندارد احراز هویت FIDO مهم‌ترین محصول FIDO یا اتحاد Fast IDentity Online به عنوان یک انجمن باز صنعتی است که در فوریه 2013 به منظور توسعه استانداردهای احراز هویت برای کاهش وابستگی بیش از حد جهان به گذرواژه‌ها راه‌اندازی شده است. FIDO مجموعه‌ای از مشخصات فنی امنیتی فناوری محور بر احراز هویت به ویژه احراز هویت قوی است که توسط اتحاد FIDO به عنوان یک سازمان غیرانتفاعی توسعه داده می‌شود. مشخصات فنی FIDO از احراز هویت چندعاملی و رمزنگاری کلید عمومی پشتیبانی می‌کند. این استاندارد برخلاف پایگاه‌های داده گذرواژه می‌تواند اطلاعات قابل شناسایی شخصی[1] (PII) نظیر داده‌های احراز هویت بیومتریک را برای محافظت بیشتر بر روی دستگاه کاربر ذخیره نماید. ذخیره‌سازی محلی داده‌های احراز هویت به منظور کاهش نگرانی‌های کاربر در مورد داده‌های شخصی ذخیره شده در سرورها و دیگر فضاهای ابری است.

بیشتر بخوانید: مقدمه‌ای بر استاندارد OAuth

FIDO از پروتکل‌های چارچوب احراز هویت جهانی[2] (UAF) و فاکتور ثانویه جهانی [3] (U2F) پشتیبانی می‌کند. UAF به کاربران اجازه می‌دهد تا در هنگام ثبت‌نام در یک سرویس‌ آنلاین یک زوج کلید جدید ایجاد نمایند. کلید خصوصی زوج کلید جدید بر روی دستگاه کاربر ذخیره می‌شود و کلید عمومی در اختیار سرویس‌دهنده قرار می‌گیرد. دستگاه کاربر در زمان احراز هویت با بهره‌گیری از این مکانیزم به واسطه امضای یک چالش تنها مالکیت کلید خصوصی را به سرویس‌دهنده اثبات می‌کند. احراز هویت قوی FIDO از طریق پروتکل U2F انجام می‌شود که نیازمند استفاده از توکن‌های امنیتی سخت‌افزاری است. دستگاه سازگار با FIDO کاربر در فرآیند ثبت نام یک زوج کلید جدید تولید می‌کند و تنها کلید عمومی را در اختیار سرویس‌دهنده قرار می‌دهد. این پروتکل برای احراز هویت نیز از امضای چالش ایجاد شده بین کاربر و سرویس‌دهنده با کلید خصوصی استفاده می‌کند.

FIDO راهکاری برای دنیای بدون پسورد

گذرواژه‌ها مشکلات متعددی برای کاربران دنیای آنلاین ایجاد کرده‌اند. بیش از 80 درصد نشت‌های داده‌ای به دلیل استفاده از گذرواژه‌های نامناسب است. هر کاربر فضای سایبری به طور متوسط دارای 90 حساب کاربری است که در بیشتر از نصف آن‌ها از گذرواژه‌های تکراری استفاده کرده است. استاندارد باز FIDO راه کاملی برای چالش گذرواژه ایجاد کرده است. از مهم‌ترین مزایای این پروتکل برای سازمان‌ها عبارتند از:

ویژگی‌های FIDO

FIDO امکان احراز هویت بدون گذرواژه و احراز هویت چندعاملی با استفاده از مکانیزم‌هایی مانند کلید امنیتی، تشخیص چهره، اثر انگشت و تشخیص صوت را فراهم می‌آورد. این استاندارد از قابلیت استفاده در نهادهای دولتی و سازمان‌های خصوصی در صنایع مختلفی نظیر بانک، مؤسسات مالی، بیمه، اپراتورهای مخابراتی، بهداشت و درمان برخوردار است.

نحوه عملکرد استاندارد احراز هویت FIDO

 پروتکل‌های FIDO از تکنیک‌های استاندارد رمزنگاری عمومی برای احراز قوی استفاده می‌کنند. کاربر در هنگام ثبت‌نام در سرویس آنلاین یک زوج کلید ایجاد می‌کند. کلید خصوصی در دستگاه کاربر ذخیره می‌شود و کلید عمومی در اختیار سرویس‌دهنده قرار داده می‌شود. کاربر در زمان احراز هویت باید مالکیت کلید خصوصی را از طریق امضای چالش ایجاد شده توسط سرویس‌دهنده اثبات نماید. کلیدهای خصوصی کاربر تنها پس از باز شدن قفل محلی ایجاد شده در دستگاه کاربر قابل استفاده هستند. باز کردن قفل محلی از طریق یک اقدام امن و کاربر پسند نظیر کشیدن انگشت، استفاده از اثر انگشت، ایجاد PIN، صحبت کردن در میکروفون، وارد کردن یک دستگاه ثانویه یا فشردن یک دکمه انجام می‌شود.

بیشتر بخوانید: احراز هویت مبتنی بر ریسک در بانکداری دیجیتال

پروتکل‌های FIDO از ابتدا با ذهنیت محافظت از حریم خصوصی کاربر طراحی شده‌اند. این پروتکل‌ها هیچ گونه اطلاعاتی در اختیار سرویس‌های آنلاین قرار نمی‌دهند که امکان اشتراک یا استفاده از آن برای رهگیری کاربر در بین سرویس‌های مختلف وجود داشته باشد. اطلاعات بیومتریک مورد استفاده هیچ گاه از دستگاه کاربر خارج نمی‌شوند.

ثبت‌نام FIDO

ثبت نام FIDO
  • کاربر باید یکی از مکانیزم‌های احراز هویت FIDO را مطابق با سیاست پذیرش سرویس آنلاین انتخاب کند؛
  • کاربر احراز هویت کننده FIDO را با استفاده از اثرانگشت، وارد کردن PIN، کلیک بر روی یک دکمه یا مکانیزم‌های دیگر باز می‌کند؛
  • دستگاه کاربر یک زوج کلید خصوصی/ عمومی جدید و منحصربه‌فرد برای دستگاه او، سرویس آنلاین و حساب کاربری او ایجاد می‌کند؛
  • کلید عمومی به سرویس آنلاین فرستاده می‌شود و به حساب کاربری متصل می‌شود. کلید خصوصی و هر گونه اطلاعات دیگر در مورد روش احراز هویت محلی مانند قالب یا روش سنجش خصیصه بیومتریک به صورت محلی و بر روی دستگاه کاربر باقی می‌ماند.

ورود استاندارد احراز هویت FIDO

FIDO Login
  • سرویس آنلاین کاربر را به سمت ورود با دستگاه ثبت شده و حل چالشی هدایت می‌کند که مطابق با سیاست پذیرش سرویس است؛
  • کاربر احراز هویت کننده FIDO را با بهره‌گیری از روش مورد استفاده در زمان ثبت‌نام باز می‌کند؛
  • دستگاه از شناسه حساب کاربری ارائه شده توسط سرویس‌دهنده به منظور انتخاب کلید درست و امضای چالش ایجاد شده توسط سرویس استفاده می‌کند؛
  • دستگاه کاربر، چالش امضا شده را به سرویس‌دهنده می‌فرستد. چالش دریافتی برای تأیید هویت کاربر با کلید عمومی ذخیره شده و اعطای مجوز ورود به کاربر استفاده می‌شود.

کتاب راهنمای احراز هویت FIDO

گزارش The FIDO Authentication Handbook از مقالاتی است که در سال 2021 توسط شرکت THALES منتشر شده است . نسخه ترجمه شده این گزارش به همت کارشناسان مجموعه برهان در اختیار علاقه‌مندان به مدیریت هویت و دسترسی قرار گرفته است.

نوسیندگان: تورج اکبری، محمدصالح میثمی


[1] Personally Identifiable Information (PII)

[2] Universal Authentication Framework (UAF)

[3] Universal Second Factor (U2F)

0 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگوها شرکت کنید؟
در گفتگو ها شرکت کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *