Official Blog
Пришло время нового метода аутентификации “FIDO”
Synology Team
24 сентября, 2021

Пришло время нового метода аутентификации “FIDO”

Скорее всего, вам знакомы следующие сценарии:

Сценарий первый: вы хотите подписаться на новую интернет-службу, но боитесь забыть свой пароль. Чтобы было легче запомнить, вы используете ваш существующий пароль от почтового ящика, онлайн-банка и онлайн-аудиовизуальной платформы.

Сценарий второй: вы снова видите инцидент информационной безопасности в новостях и понимаете, что ваш пароль может быть недостаточно безопасным. Вы устанавливаете надежный пароль «$] 2iUzzJ» с помощью генератора паролей. Но он слишком сложен для запоминания, поэтому вы сохраняете его на листе бумаги и приклеиваете на самом видном месте за рабочим столом.

Проблемы с традиционными паролями

Традиционные пароли могут создать множество проблем. Например, вышеупомянутые надежные пароли кажутся пользователям разумными и повышают безопасность, но человеческий мозг не приспособлен для запоминания паролей такой сложности.

У большинства из поставщиков услуг теперь есть набор соответствующих правил, например, пользователям рекомендуется устанавливать надежные пароли или повышать безопасность учетной записи с помощью двухэтапной проверки и методов SMS OTP (одноразовый пароль). Однако ни одно из этих правил не может полностью предотвратить риск нападения хакеров или фишинговых атак.

В эпоху Интернета многие важные данные и службы загружены в облако, что также расширяет масштабы хакерских атак и увеличивает внешний риск. Согласно исследованию американской телекоммуникационной компании Verizon за 2019 год, 80% уязвимостей связаны с утечкой паролей, а 51% паролей пользователей используются повторно. Для хакеров данные – это деньги. Методы атак эволюционировали от простого парализации системы до получения личных данных пользователей с помощью фишинговых сайтов и других методов для получения большей выгоды.

От того, что вы знаете, до того, кто вы

Чтобы решить существующие проблемы в отрасли, на этом этапе мы должны сначала понять основные методы проверки личности.

1. То, вы знаете. (Что-то, что вы знаете): это традиционный пароль, метод, который знают все, но существует высокая вероятность взлома. Пока определенный сетевой сервис полезен, он может быть атакован хакерами.

2. Что-то, что у вас есть: Безопасность выше, чем у традиционных паролей, например, отправка одноразовых паролей на личные устройства для проверки. Многие онлайн-банки теперь отправляют SMS-пароли на мобильные телефоны своих клиентов, когда пользователи переводят средства, Google Authenticator также попадает в эту категорию.

3. Кто вы: личные биологические характеристики. Например, в эту категорию попадают распознавание отпечатков пальцев, лица и радужной оболочки глаза.

Поскольку возможность получить аутентификацию хакерами может быть значительно уменьшена при использовании устройств и биометрии, принадлежащих частным лицам, текущий метод аутентификации личности в отрасли постепенно эволюционирует от первого типа «что-то, что вы знаете» ко второму и третьему типам. «Что у тебя есть / кто ты». Теперь, когда «избавление от традиционных паролей» стало общепринятым в отрасли, пришло время всем познакомиться с FIDO – стандартами сетевой идентификации следующего поколения. Причины его значительного роста за последние два года следует пояснить.

Что такое FIDO?

Что такое стандарт сетевой идентификации следующего поколения FIDO (Fast Identity Online)? Проще говоря, это можно понять как использование аппаратного устройства в качестве основной оси и метода проверки подлинности личности. Основная цель – предоставить набор открытых и совместимых стандартов для различных веб-сайтов и мобильных сервисов, чтобы пользователи могли получать доступ к сервисам с помощью защищенного оборудования. Модуль безопасности заменяет традиционный пароль для проверки личности.

Например, если используемый вами сервис поддерживает стандарт FIDO, вы можете использовать стандартный физический ключ безопасности FIDO (например, USB-ключ) для непосредственной проверки и доступа к сервису. Другой пример – стандартный модуль безопасности FIDO для ноутбуков или «Windows Hello» в Windows. Кроме того, вы также можете использовать распознавание отпечатков пальцев и другие функции на компьютере для доступа к большему количеству служб и выполнения более безопасной аутентификации личности.

По сравнению с другими методами аутентификации FIDO более безопасен. С точки зрения архитектуры – закрытый ключ не существует на стороне сервера, что перекладывает риск на устройство, а не на сервер. Это означает, что даже если сервер находится в опасности, утечки данных и паролей из нескольких учетных записей не будет. Кроме того, ключи FIDO уникальны для каждого веб-сайта, поэтому их нельзя использовать для отслеживания поведения пользователей на сайтах.

Поскольку изначально это был стандарт, созданный для обеспечения безопасности сети, многие интернет-службы, известные обычным пользователям, уже его поддерживают. Например, такие популярные браузеры, как Google Chrome, Firefox и Edge. Стандарт также распространяется на компьютеры с ОС Windows. В феврале прошлого года Microsoft объявила, что Windows Hello прошла сертификацию FIDO2. Если вы используете новую версию Microsoft Windows 10, соответствующую сертификации FIDO2, вы можете входить в веб-службы Microsoft, которые вы просматриваете, с помощью биометрических данных, сертифицированных FIDO2. Включая такие службы, как Outlook.com, Microsoft365, OneDrive и т. д.

Альянс FIDO был создан в 2012 году. С момента его создания к альянсу присоединились более 250 участников, включая PayPal, Google, Apple и Microsoft. Многие интернет-провайдеры, финансовые учреждения и государственные организации участвуют или выразили готовность участвовать в совместном продвижении нового открытого отраслевого стандарта «без пароля».

Будущее без паролей

Synology запустила DSM 7.0, а также представила аутентификацию FIDO Identity Authentication, надеясь избавить пользователей от неудобств, связанных с запоминанием паролей, одновременно повысив безопасность проверки личности.
Поддерживая мобильную аутентификацию Synology Secure SignIn и метод входа в систему с помощью электронного ключа, новый пользовательский интерфейс обеспечивает безопасность и удобство. Причиной одновременного внедрения этих двух новых методов проверки личности является надежда на то, что пользователи не только смогут выбрать подходящий метод для конкретной ситуации и потребностей, но также будут продвигать многофакторную и многоэтапную проверку.
В дополнение к надежде охватить больше сценариев использования, DSM 7.0 также позволяет пользователям привыкнуть к новому механизму. Метод «Подтвердить вход» был введен, потому что теперь почти у каждого есть мобильное устройство. Вам просто нужно загрузить приложение, чтобы использовать его. С точки зрения практичности и безопасности, FIDO представляет собой надежный метод проверки личности. На рынке существует множество физических ключей, поддерживающих сертификацию FIDO. Они очень просты в использовании, а целевая группа клиентов может быть расширена за счет включения пользователей с более высокими требованиями к безопасности, таких как корпоративный ИТ-персонал.

Можно сказать, что FIDO в настоящее время является наиболее безопасным методом аутентификации личности, который не только исключает этап запоминания паролей, но и обеспечивает большую конфиденциальность. За последние два года FIDO вступил в фазу активного развития. Большая часть архитектуры и сертификации браузеров завершена. Было много примеров реализации также в приложениях, включая правительственные учреждения, финансовые учреждения и телекоммуникационную отрасль. Следующим шагом является предоставление дополнительных услуг, поддерживающих безопасные методы аутентификации. Пришло время производителям наверстать упущенное и вместе начать беспарольное будущее.