'N Dekade van gefedereerde identiteit - word FIDO aangeneem?
Die gesprek rondom die verwydering van wagwoorde en die versekering van gladder en veiliger stawingsprosesse duur al jare. Soos die FIDO-alliansie meer vennote werf en aanhou om landmerkaankondigings te maak, hoe lyk die aanvaarding daarvan eintlik? Dan Raywood kyk na die eerste dekade van gefedereerde identiteit.
Dit is vanjaar tien jaar sedert die eerste saadjies vir die FIDO (Fast IDentity Online) Alliance geplant is. By daardie eerste vergadering, op Valentynsdag 2013, het die byeenkoms van FIDO-alliansieleiers uiteengesit wat die FIDO Alliansie bedoel was om te doen en wat die volgende stappe was.
'n Oop bedryfskonsortium "wat standaarde vir eenvoudiger, sterker verifikasie lewer," die konsep was vir 'n oop industriestandaard vir aanlyn en mobiele veilige verifikasie. Bestaande uit invloedryke name van tegnologie, finansiële dienste en groot webwerwe, was die ideologie van die FIDO Alliance om "eenvoudiger, sterker verifikasie moontlik te maak om in die mark te skaal."
Die eerste produk het 18 maande later gekom toe Google stapel gestuur om die Sekuriteitsleutel, die eerste FIDO Universal Second Factor (FIDO U2F) verifikasie-ontplooiing. Dit was 'n fisiese USB tweede-faktor toestel wat 'n alternatief vir ses-syfer eenmalige wagkodes gebied het. Die volgende jaar is ongeveer honderd FIDO-gesertifiseerde produkte vrygestel, wat tot 150 gestyg het teen die tyd dat die FIDO-alliansie sy tweede herdenking gevier het.
'n Paar jaar in sy lewe is die FIDO2-standaard egter bekendgestel, wat gebruikers in staat stel om "gewone toestelle te gebruik om maklik te verifieer vir aanlyndienste in beide mobiele en rekenaaromgewings."
FIDO2 is gebaseer op twee standaarde: WebAuthn en Client to Authenticator Protocol (CTAP), en gebou rondom sekuriteit en gerief: sekuriteit aangesien die aanmeldbesonderhede uniek is op elke webwerf, verlaat nooit die gebruiker se toestel nie en word nooit op 'n bediener gestoor nie; en gerief, aangesien gebruikers kriptografiese aanmeldbewyse ontsluit met ingeboude metodes soos vingerafdruklesers of kameras op hul toestelle, of deur FIDO-sekuriteitsleutels te gebruik.
Miskien was die sterkste goedkeuring van Apple verlede jaar, toe dit het die bekendstelling aangekondig van die FIDO2-geaktiveerde Wagsleutel, wat op WebAuthn gebou is, en waar 'n kombinasie van 'n publieke en private sleutel gebruik word en versoenbaar is met Touch ID en Face ID.
Is FIDO 2 goed deur die industrie aangeneem?
Al hierdie jare in, hoe goed aanvaar en aangeneem het die FIDO2-standaard geword? Andrew Shikiar, die uitvoerende direkteur van FIDO Alliance, sê die aanvanklike konsep van die FIDO Alliance was "om die data-oortredingsprobleem op te los, aangesien wagwoorde die oorgrote meerderheid veroorsaak het, en as ons dit wegneem, dan gaan die probleem weg."
In terme van die aanvaarding van die industrie, die FIDO-alliansie Stawingsbarometer vanaf Oktober 2022 gevind dat wagwoordgebruik gedaal het in die vertikale wat dit gemonitor het, terwyl die aanvaarding van multi-faktor-verifikasie deur middel van SMS-eenmalige wagkodes toegeneem het.
Shikiar glo dat die aanvaarding van FIDO2 steeds toeneem, veral met die inkoop van webblaaiers, waar Microsoft en Google "aanneming ingebou het wat FIDO in staat stel om in 'n posisie te wees om wagwoorde aan te neem."
Shikiar sê vir die gemiddelde persoon bly mense soos WebAuthn oor die algemeen onbekend. Tog sal die verhoogde aanvaarding van FIDO2 verhoogde MFA en verminderde wagwoordgebruik beteken, wat tot meer besigheidsvoordele kan lei. "Besighede sal meer werknemers se opetyd sien en sukseskoers is hoër, en IT-koste is af," wat lei tot beide kostebesparings en gelukkiger werknemers.
Een maatskappy wat die voordeel gesien het, is Verby identiteit, wat aangekondig het dat hy aan die begin van 2 FIDO2023-sertifisering ontvang het. 'n Verskaffer van wagwoordlose en MFA-produkte, sy hoofbemarkingsbeampte, Patrick McBride, sê dat FIDO2 Beyond Identity op verskeie maniere bevoordeel. "Op die tegnologiese front gee dit ons 'n standaard manier om wagwoorde te benut en verskeie maniere om met ander FIDO2-versoenbare tegnologieë te integreer."
Was dit die moeite werd om as 'n maatskappy aan FIDO2 te voldoen en by hierdie inisiatief aan te sluit? McBride sê dit is, aangesien Beyond Identity 'n "meerjarige, kaartdraende FIDO-alliansielid" is met verskeie bykomende produkplanne op die padkaart wat verskeie dele van die FIDO2-standaard sal benut.
"So ons glo die FIDO-sap is beslis die druk werd - beide op 'n tegniese en markonderwysfront."
FIDO stel die standaard
Aangesien FIDO goed aangeneem is deur prominente aanlynname, verdien dit nou om as een van die beduidende kuberveiligheidstandaarde beskou te word? Shikiar stem saam en sê dat sterk verifikasie 'n "topprioriteit vir besighede" is, aangesien dit meer produktiewe werknemers en 'n beter aanmeldkoers moontlik maak. In een geval het 'n besigheid 'n verhoogde winslyn as gevolg daarvan gesien. "Ons is belê in gebruikerservaring, aangesien mense afgeskrik sal word as dit te ingewikkeld is," sê hy.
Die volgende stap vir FIDO2-aanneming sal wees wanneer dit deur reguleerders en moontlik selfs kuberversekeringsverskaffers opdrag gegee word om 'n veiliger en bewese tipe verifikasie te verseker om die kanse op 'n data-oortreding beter te verminder en wagwoorde te verwyder.
Jonathan Armstrong is 'n vennoot by Cordery en gesê dat hoewel hy nie bewus is van enige regulasie wat sterk stawing vereis nie, hy nie sal uitsluit dat dit in die toekoms gebeur nie. "Dikwels volg datasekuriteitswetgewing en -regulasies gebeure," sê hy. As daar 'n beduidende oortreding is en 'n verandering word deur die openbare mening vereis, dan is dit waar 'n reël vir sterker verifikasie in werking kan tree. “Sommige lande kan sulke goed by hul plaaslike implementering van NIS II voeg; Ek het nog nie daarvan gehoor nie, maar dit is vir seker ’n moontlikheid.”
Benewens regulatoriese faktore is daar ook kuberversekeringsoorwegings, en Shikiar sê dat die aanvaarding van FIDO2 iets is wat kan help met 'n beter beleid aangesien dit wys die maatskappy is beter beskerm. "'n Eenvoudige stap om FIDO vir MFA aan te neem kan 'n nommer een bedreiging aanspreek en sal help om verdere aanneming te dryf."
Oor die afgelope dekade het ons baie voorvalle van data-oortredings en wagwoordverlies gesien, en besighede gaan voort om hierdie kwessie te beveg en die een om werknemers aanlyn te hou en toegang tot toestelle, rekenaars en toepassings te kry. Die aanvaarding van FIDO2 maak golwe om besighede in staat te stel om meer veilig te wees teen 'n algemene probleem, en meer ondernemings wat voldoening bereik, moet verwelkom word.
Versterk jou inligtingsekuriteit vandag
As jy jou reis na beter inligtingsekuriteit wil begin, kan ons help.
Ons ISMS-oplossing maak 'n eenvoudige, veilige en volhoubare benadering tot inligtingsekuriteit en databestuur moontlik ISO 27001 en meer as vyftig ander raamwerke. Besef vandag jou mededingende voordeel.
