FIDO - hoe werkt dat nu?

Een gemiddelde Nederlander heeft wel 25 online accounts. Facebook, Gmail, Apple, Bol.com, Dropbox, en ga zo maar door. Deze online accounts zijn allemaal beveiligd met een gebruikersnaam en wachtwoord. Essentieel hierin is dat het wachtwoord geheim is en blijft. Veel mensen gebruiken gemakshalve vaak dezelfde inlognamen en wachtwoorden voor verschillende online diensten. Begrijpelijk, maar niet veilig. Bij inbreuk krijgt de boosdoener namelijk automatisch toegang tot meerdere accounts.

De oplossing? Gebruik niet één, maar meer factoren om in te loggen.

Privacy staat voorop

De FIDO-protocollen zijn vanaf het begin ontworpen om de privacy van gebruikers te beschermen. De protocollen bieden geen informatie die door verschillende online services kan worden gebruikt om samen te werken en een gebruiker over de services te volgen. Biometrische informatie, indien gebruikt, verlaat nooit het apparaat van de gebruiker.

FIDO standaardiseert het authenticatieprotocol dat wordt gebruikt tussen de gebruiker en de online service. Het protocol is gebaseerd op standaard openbare sleutelcryptografie. Tijdens registratie bij een online service maakt het apparaat van de gebruiker een nieuw sleutelpaar. Het behoudt de persoonlijke sleutel en registreert de openbare sleutel bij de online service. Later, bij authenticatie, verifieert de service dat de gebruiker de private sleutel bezit door hem te vragen een challenge te ondertekenen.

De privésleutels van de gebruiker kunnen alleen worden gebruikt nadat ze lokaal op het apparaat zijn ontgrendeld. Het lokale ontgrendelen wordt bereikt door een gebruiksvriendelijke en veilige actie, zoals een pincode invoeren, een tweede-factor token plaatsen of een vingerafdruk geven.

FIDO2 certified

Veiligheid

FIDO cryptografische inloggegevens zijn uniek op elke website, verlaten nooit de sleutel en worden nooit opgeslagen op een server. Dit beveiligingsmodel elimineert de risico's van phishing, alle vormen van wachtwoorddiefstal en replay-aanvallen.

Privacy

Omdat FIDO-cryptografische tokens uniek zijn voor elke internetsite, kunnen ze niet worden gebruikt om gebruikers op verschillende sites te volgen.
Bovendien verlaten biometrische gegevens nooit de sleutel van de gebruiker.

Gemak

Gebruikers ontgrendelen de opgeslagen cryptografische inloggegevens door het aanraken van de sleutel of het plaatsen van een vingerafdruk. Een enkele FIDO beveiligings-sleutel is geschikt voor duizenden vele on-line toepassingen.

FIDO abc...

2FA, U2F, FIDO, FIDO2, … Sinds zijn intrede op het toneel, heeft de FIDO Alliance drie specificaties gepubliceerd: Universal 2nd Factor (U2F), Universal Authentication Framework (UAF) en FIDO2, waarvan de laatste bestaat uit de webauthenticatie (WebAuthn) en Client to Authenticator Protocol 2 (CTAP2 ). In wezen is FIDO2 de ontwikkeling zonder wachtwoord van FIDO U2F. Met al deze acroniemen die rondvliegen, kan het een uitdaging zijn om al deze verschillende specificaties bij te houden. We hebben hier een overzicht gemaakt (FIDO abc) samengesteld om elke FIDO-specificatie te definiëren en u de details van hun verschillen te geven.

Registratie

  1. De gebruiker wordt gevraagd een FIDO-authenticator zoals de ePass FIDO beveiligingstoken te kiezen van de online service.
  2. De gebruiker ontgrendelt de FIDO-authenticator met behulp van een vingerafdruklezer, een knop op een tweede-factor-token, een veilig ingevoerde PIN-code of een andere methode.
  3. Het token van de gebruiker creëert een nieuw publiek/privaat sleutelpaar dat uniek is voor het lokale apparaat, de online service en het gebruikersaccount.
  4. Openbare sleutel wordt verzonden naar de online service en gekoppeld aan het account van de gebruiker. De privésleutel en alle informatie over de lokale authenticatiemethode (zoals biometrische metingen of sjablonen) verlaten nooit het lokale apparaat.

Aanmelding

  1. Online service vraagt de gebruiker om in te loggen met een eerder geregistreerd apparaat dat overeenkomt met het acceptatiebeleid van de service.
  2. De gebruiker ontgrendelt de FIDO-authenticator op dezelfde manier als op het moment van registratie.
  3. Het token gebruikt het account-ID van de gebruiker die door de service wordt verstrekt om de juiste sleutel te selecteren en de challenge van de service te ondertekenen.
  4. Clientapparaat stuurt de ondertekende challenge terug naar de service, die deze verifieert met de opgeslagen openbare sleutel en zich aanmeldt bij de gebruiker.