FIDO abc

2FA, U2F, FIDO, FIDO2, …

Twee factor authenticatie begint nu langzaamaan bekend te worden, en diverse on-line diensten bieden nu deze mogelijkheid. Vaak wordt daarbij de telefoon, meestal via sms, als 2e factor authenticatie gehanteerd. FIDO gaat nog een stap verder: veiliger, simpeler, en universeel toepasbaar.

Sinds zijn intrede op het toneel, heeft de FIDO Alliance drie specificaties gepubliceerd: Universal 2nd Factor (U2F), Universal Authentication Framework (UAF) en FIDO2, waarvan de laatste bestaat uit de webauthenticatie (WebAuthn) en Client to Authenticator Protocol 2 (CTAP2 ). In wezen is FIDO2 de ontwikkeling zonder wachtwoord van FIDO U2F.

Met al deze acroniemen die rondvliegen, kan het een uitdaging zijn om al deze verschillende specificaties bij te houden. We hebben deze handleiding samengesteld om elke FIDO-specificatie te definiëren en u de details van hun verschillen te geven.


Twee factor authenticatie 2FA

Twee factor authenticatie (2FA) is een veilige(re) manier van inloggen. De identiteit van de gebruiker wordt hierbij vastgesteld door middel van twee factoren. Je opent het digitale slot als het ware niet met één sleutel, maar met twee sleutels. Hiermee kan voor de toegang tot een netwerk of dienst het achterliggende systeem achterhalen dat de persoon die zich aanmeldt ook echt diegene is als hij/zij zich voordoet.

Het vaststellen van een identiteit kan door de combinatie van verschillende factoren, zoals:

  • Iets wat je kent: een wachtwoord of pincode
  • Iets wat je hebt: bijvoorbeeld een pinpas of een ePass FIDO
  • Iets wat je bent: verwijzend naar biometrische gegevens, zoals je vingerafdruk

Bij een twee factor authenticatie (2FA) moet je twee stappen succesvol doorlopen om ergens toegang tot te krijgen. Dit betekent dat bijvoorbeeld naast het invoeren van een gebruikersnaam en wachtwoord, er nog een tweede factor nodig hebt. Dit kan in de vorm van een code die per sms naar je smartphone wordt toegestuurd. Maar een vingerafdruk, een melding die je accepteert in een mobiele app of gezichtsherkenning kan ook een tweede factor zijn. De meest veilige methode is door gebruik te maken van een FIDO token in combinatie met een vingerafdruk.

FIDO - Fast IDentity Online

FIDO is gebaseerd op openbare sleutelcryptografie en is geschikt voor meerdere gebruikersscenario's, waaronder een sterke eerste factor (wachtwoordloos), een sterke tweede factor en zelfs multi-factor authenticatie. Met deze mogelijkheden kan de beveiligingssleutel zwakke statische gebruikersnaam/wachtwoord volledig vervangen door openbare sleutelcrypto-hardware- en biometrische authenticatie ter bescherming tegen phishing, sessie-kaping, man-in-the-middle- en malware-aanvallen.

FIDO ontstond in 2012 en wordt ondersteund door een reeks grote technische en financiële spelers zoals PayPal, Lenovo, Google, Visa en Microsoft, gezamenlijk bekend als de FIDO Alliance. FIDO is gebaseerd op cryptografie met een openbare sleutel en is een reeks protocollen die zijn ontworpen om vrijwel elk type authenticatie te ondersteunen. Dit omvat vingerafdruk, biometrie, eenmalige wachtwoorden (OTP), Trusted Platform Modules (TPM), USB-beveiligingstokens, near-field communication (NFC) en Bluetooth voor mobiele apparaten - met API-ondersteuning voor het zware werk voor ontwikkelaars.

FIDO 1.0: U2F en UAF

In 2014 publiceerde FIDO het Universal Authentication Framework (UAF), dat bedoeld was om wachtwoordloze authenticatie door middel van biometrische gegevens te implementeren. Vervolgens voegden ze Universal 2nd Factor (U2F) toe als een veiligere vervanging voor traditionele op OTP gebaseerde tweefactorauthenticatie (2FA). U2F is ontworpen om te fungeren als een tweede factor om bestaande op gebruikersnaam / wachtwoord gebaseerde inlogstromen te versterken. Het is gebaseerd op een schaalbaar public-key model waarin voor elke service een nieuw sleutelpaar wordt gegenereerd en een onbeperkt aantal services kan worden ondersteund, terwijl de volledige afstand tussen beide behouden blijft om de privacy te behouden. U2F omvatte zijn eigen client-side protocol, Client to Authenticator Protocol (CTAP), dat kan worden gebruikt om een token en dus gebruiker, toegang te geven via USB, Near Field Communication (NFC) of Bluetooth.

Door dit te doen, implementeerde FIDO 1.0 codering met een openbare sleutel op een manier die de inherente kwetsbaarheden van OTP's overwon die via onveilige netwerken werden verzonden. In plaats van een eenvoudige pincode is tijdens de registratie voor een service een paar private / publieke sleutels gemaakt, waarbij de private sleutel is beveiligd op het token of apparaat van de gebruiker en nooit is overgedragen. Dit betekende dat er niets te onderscheppen en te stelen was. Het enige dat de serviceprovider behield, was de openbare sleutel die aan de gebruiker was gekoppeld.

UAF had ingebouwde ondersteuning voor biometrische authenticatie in mobiele apparaten, terwijl U2F native werd ondersteund in 's werelds populairste webbrowser, Chrome. Dit betekende dat FIDO-authenticatie niet iets was dat gebruikers moesten inschakelen of downloaden - het was een ingebedde mogelijkheid, waarvan velen al toegang hadden.

FIDO2 en webverificatie

FIDO2 is de nieuwe FIDO standaard die een eenvoudige en veilige login voor webdiensten biedt op basis van PKI technologie zonder de complexiteit. Afhankelijk van de implementatie in de webdienst, kan er gebruik gemaakt worden van zogenaamde password-less inloggen. Dit zonder-wachtwoord inloggen wordt onder andere door Microsoft bij een aantal van haar webservices reeds ondersteund, en verwacht wordt dat andere dienstverleners snel gaan volgen.

FIDO2 is een verdere ontwikkeling van het U2F-protocol met een uitgebreide versie van CTAP, nu CTAP2 genoemd. Hoewel U2F is ontworpen om te fungeren als een tweede factor voor wachtwoorden, is het doel van FIDO2 om authenticatie wachtwoordloos te maken. Het doet dit via een nieuwe web-API genaamd Web Authentication (WebAuthn). Met deze API kunnen webtoepassingen openbare codering en authenticators rechtstreeks gebruiken. Dus waar FIDO1.0 nog steeds gebruikersnamen en wachtwoorden vereiste, heeft FIDO2 de architectuur gecreëerd die nodig is om traditionele referenties weg te nemen. Met WebAuthn kunnen gebruikers zich aanmelden bij internetaccounts met behulp van hun voorkeursapparaat. Webservices en apps kunnen deze functionaliteit inschakelen en zouden deze moeten inschakelen om hun gebruikers een eenvoudigere inlogervaring te bieden via biometrie, mobiele apparaten en/of FIDO-beveiligingssleutels - en met een veel hogere beveiliging dan alleen wachtwoorden.

WebAuthn wordt reeds ondersteund in Windows 10- en Android-platforms en Google Chrome, Mozilla Firefox, Microsoft Edge en Apple Safari (preview) webbrowsers.