Et årti med fødereret identitet – er FIDO adopteret?
Samtalen omkring fjernelse af adgangskoder og sikring af smidigere og mere sikre autentificeringsprocesser har stået på i årevis. Efterhånden som FIDO Alliance rekrutterer flere partnere og fortsætter med at komme med skelsættende meddelelser, hvordan ser dens vedtagelse egentlig ud? Dan Raywood ser ind i det første årti med fødereret identitet.
I år er det ti år siden, at de første frø til FIDO (Fast IDentity Online) Alliance blev plantet. På det første møde, på Valentinsdag 2013, redegjorde samlingen af FIDO Alliance-ledere, hvad FIDO Alliance var beregnet til at gøre, og hvad dens næste skridt var.
Et åbent industrikonsortium, der "leverer standarder for enklere, stærkere autentificering", konceptet var en åben industristandard for online og mobil sikker autentificering. FIDO Alliancens ideologi, der bestod af indflydelsesrige navne fra teknologi, finansielle tjenester og store websteder, var at "muliggøre enklere, stærkere autentificering at skalere på markedet."
Det første produkt kom 18 måneder senere, da Google lancerede Sikkerhedsnøgle, den første FIDO Universal Second Factor (FIDO U2F) godkendelsesimplementering. Dette var en fysisk USB-enhed med anden faktor, som tilbød et alternativ til sekscifrede engangskoder. Året efter blev omkring hundrede FIDO-certificerede produkter frigivet, steget til 150, da FIDO Alliancen markerede sit andet jubilæum.
Men et par år inde i dens levetid blev FIDO2-standarden introduceret, hvilket gør det muligt for brugere at "udnytte almindelige enheder til nemt at autentificere til onlinetjenester i både mobil- og desktopmiljøer."
FIDO2 er baseret på to standarder: WebAuthn og Client to Authenticator Protocol (CTAP), og bygget op omkring sikkerhed og bekvemmelighed: sikkerhed, da loginoplysningerne er unikke på tværs af hvert websted, forlader aldrig brugerens enhed og gemmes aldrig på en server; og bekvemmelighed, da brugere låser op for kryptografiske login-legitimationsoplysninger med indbyggede metoder såsom fingeraftrykslæsere eller kameraer på deres enheder, eller ved at udnytte FIDO-sikkerhedsnøgler.
Den måske stærkeste støtte var fra Apple sidste år, da den annoncerede lanceringen af den FIDO2-aktiverede adgangsnøgle, som er bygget på WebAuthn, og hvor en kombination af en offentlig og privat nøgle bruges og er kompatible med Touch ID og Face ID.
Er FIDO 2 godt vedtaget af industrien?
I alle disse år, hvor godt accepteret og vedtaget er FIDO2-standarden blevet? Andrew Shikiar, den administrerende direktør for FIDO Alliance, siger, at det oprindelige koncept for FIDO Alliance var "at løse databrudsproblemet, da adgangskoder forårsagede det store flertal, og hvis vi fjerner dem, så forsvinder problemet."
Med hensyn til industriadoption, FIDO Alliance Autentificeringsbarometer fra oktober 2022 konstaterede, at adgangskodebrugen var faldet i de vertikaler, den overvågede, mens vedtagelsen af multifaktorautentificering gennem SMS-engangskoder steg.
Shikiar mener, at adoptionen af FIDO2 fortsætter med at stige, især med buy-in fra webbrowsere, hvor Microsoft og Google "byggede adoption, som gør det muligt for FIDO at være i stand til at overtage adgangskoder."
Shikiar siger, at for den gennemsnitlige person, så forbliver folk som WebAuthn generelt ukendte. Alligevel vil den øgede anvendelse af FIDO2 betyde øget MFA og reduceret adgangskodebrug, hvilket kan føre til flere forretningsmæssige fordele. "Virksomheder vil se mere medarbejderoppetid og succesraten er højere, og IT-omkostningerne er faldet," hvilket fører til både omkostningsbesparelser og gladere medarbejdere.
En virksomhed, der så fordelen er Ud over identitet, som annoncerede, at de havde modtaget FIDO2-certificering i starten af 2023. En udbyder af adgangskodeløse og MFA-produkter, dets Chief Marketing Officer Patrick McBride siger, at FIDO2 gavner Beyond Identity på flere måder. "På den teknologiske front giver det os en standard måde at udnytte adgangsnøgler på og flere måder at integrere med andre FIDO2-kompatible teknologier."
Var det umagen værd at blive FIDO2-kompatibel som virksomhed og tilslutte sig dette initiativ? McBride siger, at det er det, da Beyond Identity er et "flerårigt, kortbærende FIDO-alliancemedlem" med flere yderligere produktplaner på køreplanen, der vil udnytte forskellige dele af FIDO2-standarden.
"Så vi mener, at FIDO-juicen bestemt er klemmen værd - både på en teknisk og markedsmæssig uddannelsesfront."
FIDO sætter standarden
Da FIDO er blevet godt adopteret af prominente onlinenavne, fortjener det så nu at blive betragtet som en af de væsentlige cybersikkerhedsstandarder? Shikiar er enig og siger, at stærk autentificering er en "topprioritet for virksomheder", da det muliggør mere produktive medarbejdere og en bedre login-rate. I et tilfælde oplevede en virksomhed en øget overskudslinje på grund af det. "Vi er investeret i brugeroplevelse, da folk vil blive afskrækket, hvis det er for kompliceret," siger han.
Det næste skridt for FIDO2-vedtagelse vil være, når det bliver pålagt af regulatorer og potentielt endda cyberforsikringsudbydere til at sikre en mere sikker og gennemprøvet type autentificering for at reducere chancerne for et databrud bedre og fjerne adgangskoder.
Jonathan Armstrong er partner ved Cordery og sagde, at selvom han ikke er bekendt med nogen regulering, der kræver stærk autentificering, ville han ikke udelukke, at det sker i fremtiden. "Ofte følger datasikkerhedslovgivning og -regulering begivenheder," siger han. Hvis der er et væsentligt brud, og en ændring er påkrævet af den offentlige mening, så er det her, en regel for stærkere autentificering kan træde i kraft. "Nogle lande kunne tilføje ting som dette i deres lokale implementering af NIS II; Jeg har ikke hørt om det endnu, men det er helt sikkert en mulighed.”
Ud over regulatoriske faktorer er der også overvejelser om cyberforsikring, og Shikiar siger, at vedtagelsen af FIDO2 er noget, der kan hjælpe med en bedre politik, da det viser, at virksomheden er bedre beskyttet. "Et simpelt skridt til at adoptere FIDO til MFA kan adressere en trussel nummer ét og vil hjælpe med at drive yderligere adoption."
I løbet af det sidste årti har vi set mange hændelser med databrud og tab af adgangskode, og virksomheder kæmper fortsat mod dette problem og problemet med at holde medarbejdere online og i stand til at få adgang til enheder, desktops og apps. Vedtagelsen af FIDO2 skaber bølger for at gøre det muligt for virksomheder at være mere sikre mod et fælles problem, og flere virksomheder, der opnår overholdelse, bør hilses velkommen.
Styrk din informationssikkerhed i dag
Hvis du ønsker at starte din rejse mod bedre informationssikkerhed, kan vi hjælpe.
Vores ISMS-løsning muliggør en enkel, sikker og bæredygtig tilgang til informationssikkerhed og datahåndtering med ISO 27001 og over halvtreds andre rammer. Indse din konkurrencefordel i dag.
