Che cos'è FIDO Autenticazione?

Nick Smith | | Tempo di lettura 4 minuti
Autenticazione e-ID FIDO

FIDO, che sta per Fast IDentity Online, è una serie di standard di autenticazione mirati a rafforzare la procedura di accesso dell'utente ai servizi online. Gli standard sono sviluppati da FIDO Alliance e promuovono processi di autenticazione più veloci e più sicuri con l'obiettivo globale di eliminare del tutto l'accesso basato su password.

Che cos'è FIDO? Autenticazione sicura a due fattori e multifattoriale per proteggere l'identità degli utenti online

Il primo set di standard FIDO è stato rilasciato nel 2014 quando i soci di FIDO Alliance includevano Google, PayPal, NXP e Infineon. Negli ultimi tempi le adesioni sono cresciute fino a includere Apple, Amazon, ARM, Intel, MasterCard, Microsoft, Samsung e Visa, solo per dirne alcuni.

In questo post

Come funziona l'autenticazione FIDO?

FIDO usa la crittografia a chiave pubblica per supportare la sua sicurezza. Quando un utente si registra con un servizio online, come un sito web o un'applicazione web, il dispositivo FIDO dell'utente genera una nuova coppia di chiavi. La chiave pubblica viene condivisa con il servizio online mentre la chiave privata è tenuta sicura nel dispositivo e non viene mai rivelata. Agli accessi successivi il servizio online emette una prova che il dispositivo FIDO firma internamente usando la chiave privata. La firma viene quindi restituita al servizio online dove può essere verificata usando la chiave pubblica in memoria.

Fondamentalmente il dispositivo esegue l'operazione di firma solo dopo che l'utente ha confermato la sua presenza. Questo può essere realizzato da uno dei diversi metodi tra cui la pressione di un pulsante sul dispositivo o la scansione dell'impronta digitale (nel caso di chiave biometrica). Questo requisito serve per impedire che il malware usi una chiave FIDO collegata senza che l'utente lo sappia. Richiedendo all'utente di eseguire un'azione, l'utente può confermare di essere presente e di richiedere l'autenticazione per proseguire. Questo viene definito "rilevamento della presenza dell'utente".

FIDO 1.0 (U2F e UAF)

La prima generazione di specifiche FIDO ha descritto due protocolli, cioè Universal 2nd Factor (U2F) e Universal Authentication Framework (UAF).

FIDO U2F

FIDO U2F descrive "l'esperienza del secondo fattore". Questo si verifica quando l'utente ha un dispositivo separato conforme a FIDO come una chiave di sicurezza USB che deve usare, oltre alla password, per accedere. Questo metodo aggiuntivo mitiga la possibilità di attacchi di phishing perché richiede all'utente di presentare qualcosa in suo possesso, la chiave di sicurezza FIDO, oltre a qualcosa che sa, la sua password. Questa è un'autenticazione a due fattori (2FA) che fa affidamento su un dispositivo hardware dedicato separato.

U2F ha definito il protocollo lato cliente usato per comunicare con la chiave di sicurezza FIDO chiamato Client to Authenticator Protocol (CTAP). Questo protocollo è stato concepito per funzionare su USB, near-field communication (NFC) o Bluetooth.

FIDO UAF

FIDO UAF d'altra parte è stato concepito per fornire un'esperienza senza password. In UAF l'utente registra il suo dispositivo con abilitazione UAF (ad es. lo smartphone) con un servizio online e seleziona un metodo di autenticazione locale supportato da quel dispositivo. principalmente un metodo biometrico come l'impronta digitale o il riconoscimento facciale. L'utente quindi è in grado di accedere al servizio online da quel dispositivo in futuro, autenticandosi localmente utilizzando quel dispositivo e senza bisogno di inserire una password.

FIDO2 (WebAuthn e CTAP2)

Mentre FIDO 1.0 era fondamentalmente composto da due protocolli separati, FIDO 2.0 (o semplicemente FIDO2) rappresenta il tentativo di combinare le funzioni di U2F e UAF e portare l'autenticazione forte come tendenza dominante. Tutto questo viene fatto attraverso la standardizzazione globale del World Wide Web Consortium (W3C) e l'integrazione nei browser web conformi che includono Chrome, Firefox e Microsoft Edge.

FIDO2 si compone di due parti:

  • Una API di Javascript che viene standardizzata dal W3C definita autenticazione web , o WebAuthn . Questa API è implementata nei browser web con conformità W3C per consentire alle applicazioni web di fare un uso diretto degli autenticatori FIDO.
  • CTAP2 - una versione estesa del protocollo Client-to-Authenticator.

Rendendo l'autenticazione FIDO facile da usare per gli utenti attraverso una integrazione semplice e pulita nei servizi online, FIDO2 mira a rendere l'autenticazione forte onnipresente e alla fine eliminare del tutto l'accesso tradizionale basato su password.