Liittyneen identiteetin vuosikymmen – Onko FIDO otettu käyttöön?
Keskustelu salasanojen poistamisesta ja sujuvampien ja turvallisempien todennusprosessien varmistamisesta on jatkunut vuosia. Kun FIDO Alliance värvää lisää kumppaneita ja tekee edelleen merkittäviä ilmoituksia, miltä sen käyttöönotto itse asiassa näyttää? Dan Raywood tutkii liittovaltioidentiteetin ensimmäistä vuosikymmentä.
Tänä vuonna tulee kuluneeksi kymmenen vuotta siitä, kun FIDO (Fast IDentity Online) Alliancen ensimmäiset siemenet kylvettiin. Ensimmäisessä kokouksessa, ystävänpäivänä 2013, FIDO-allianssin johtajien kokoontuminen selvitti, mitä FIDO-liittolainen oli tarkoitus tehdä ja mitkä olivat sen seuraavat vaiheet.
Avoimen alan konsortio, joka "toimittaa standardeja yksinkertaisempaan ja vahvempaan todennukseen", konsepti oli avoin alan standardi online- ja mobiiliturvallisuuteen. FIDO Alliancen ideologia koostui teknologian, rahoituspalvelujen ja suurten verkkosivustojen vaikutusvaltaisista nimistä "mahdollistaa yksinkertaisempi ja vahvempi todennus skaalautua markkinoilla".
Ensimmäinen tuote tuli 18 kuukautta myöhemmin, kun Google käynnisti Suojausavain, ensimmäinen FIDO Universal Second Factor (FIDO U2F) -todennuskäyttöönotto. Tämä oli fyysinen USB-toisen tekijän laite, joka tarjosi vaihtoehdon kuusinumeroisille kertakäyttöisille pääsykoodeille. Seuraavana vuonna julkaistiin noin sata FIDO-sertifioitua tuotetta, ja määrä nousi 150:een, kun FIDO Alliance vietti toista vuosipäivää.
Muutaman vuoden kuluttua sen elinkaaresta kuitenkin otettiin käyttöön FIDO2-standardi, jonka avulla käyttäjät voivat "hyödynnä yleisiä laitteita tunnistautuakseen helposti verkkopalveluihin sekä mobiili- että työpöytäympäristöissä."
FIDO2 perustuu kahteen standardiin: WebAuthn ja Client to Authenticator Protocol (CTAP), ja se on rakennettu turvallisuuden ja mukavuuden ympärille: tietoturva, koska kirjautumistiedot ovat ainutlaatuiset jokaisella verkkosivustolla, eivät koskaan poistu käyttäjän laitteelta eikä niitä koskaan tallenneta palvelimelle. ja käyttömukavuus, kun käyttäjät avaavat salauskirjautumistiedot sisäänrakennetuilla menetelmillä, kuten sormenjälkilukijoilla tai laitteissaan olevilla kameroilla, tai käyttämällä FIDO-suojausavaimia.
Ehkä vahvin tuki oli Applelta viime vuonna, jolloin se ilmoitti käynnistämisestä FIDO2-yhteensopivasta salasanasta, joka on rakennettu WebAuthnille ja jossa käytetään julkisen ja yksityisen avaimen yhdistelmää ja jotka ovat yhteensopivia Touch ID:n ja Face ID:n kanssa.
Onko FIDO 2 hyvin omaksuttu teollisuudessa?
Kuinka hyvin FIDO2-standardi on kaikkien näiden vuosien aikana hyväksytty ja hyväksytty? Andrew Shikiar, FIDO Alliancen johtaja, sanoo FIDO Alliancen alkuperäisen idean "ratkaista tietomurto-ongelma, koska salasanat aiheuttivat suurimman osan, ja jos otamme ne pois, ongelma poistuu".
Mitä tulee teollisuuden käyttöön, FIDO Alliance Todennusbarometri lokakuusta 2022 lähtien havaittiin, että salasanojen käyttö oli vähentynyt sen valvomilla toimialoilla, kun taas monivaiheisen todennuksen käyttöönotto SMS-kertakäyttöisen salasanan kautta lisääntyi.
Shikiar uskoo, että FIDO2:n omaksuminen lisääntyy edelleen, etenkin verkkoselaimien sisäänoston myötä, jossa Microsoft ja Google "rakensivat käyttöönoton, jonka ansiosta FIDO voi ottaa käyttöön salasanoja".
Shikiar sanoo, että tavalliselle ihmiselle WebAuthnin kaltaiset jäävät yleensä tuntemattomiksi. FIDO2:n lisääntynyt käyttöönotto merkitsee kuitenkin MFA:n lisääntymistä ja salasanan käytön vähenemistä, mikä voi johtaa enemmän liiketoimintahyötyihin. "Yritykset näkevät enemmän työntekijöiden käytettävyyttä ja menestysaste on korkeampi, ja IT-kustannukset laskevat", mikä johtaa sekä kustannussäästöihin että onnellisempiin työntekijöihin.
Yksi yritys, joka näki hyödyn, on Identiteetin ulkopuolella, joka ilmoitti saaneensa FIDO2-sertifikaatin vuoden 2023 alussa. Salasanattomien ja MFA-tuotteiden toimittaja, sen markkinointijohtaja Patrick McBride sanoo, että FIDO2 hyödyttää Beyond Identityä monin tavoin. "Tekniikan alalla se antaa meille vakiotavan hyödyntää salasanoja ja useita tapoja integroida muihin FIDO2-yhteensopiviin teknologioihin."
Oliko kannattavaa ryhtyä FIDO2-standardin mukaiseksi yrityksenä ja liittyä tähän aloitteeseen? McBride sanoo, että se on, koska Beyond Identity on "monivuotinen, korttia kuljettava FIDO-allianssin jäsen", jonka etenemissuunnitelmassa on useita lisätuotesuunnitelmia, jotka hyödyntävät FIDO2-standardin eri osia.
"Joten uskomme, että FIDO-mehu on ehdottomasti puristamisen arvoinen – sekä teknisellä että markkinakoulutuksella."
FIDO standardin asettaminen
Koska tunnetut verkkonimet ovat omaksuneet FIDOn, ansaitseeko se nyt olla yhtenä merkittävistä kyberturvallisuusstandardeista? Shikiar on samaa mieltä sanoessaan, että vahva todennus on "yritysten ensisijainen tavoite", koska se mahdollistaa tuottavampia työntekijöitä ja paremman sisäänkirjautumisasteen. Yhdessä tapauksessa yritys näki tuloksen lisääntyneen sen vuoksi. "Olemme panostaneet käyttäjäkokemukseen, koska ihmiset tyrmäävät, jos se on liian monimutkaista", hän sanoo.
Seuraava askel FIDO2:n käyttöönotossa on, kun sääntelijät ja mahdollisesti jopa kybervakuutuksen tarjoajat velvoittavat sen varmistamaan turvallisemman ja todistetumman tunnistustyypin, mikä vähentää paremmin tietomurron mahdollisuuksia ja poistaa salasanat.
Jonathan Armstrong on kumppani Cordery ja sanoi, että vaikka hän ei ole tietoinen mistään säännöksistä, jotka edellyttävät vahvaa todentamista, hän ei sulje pois sen mahdollisuutta tulevaisuudessa. "Usein tietoturvalaki ja -määräykset seuraavat tapahtumia", hän sanoo. Jos kyseessä on merkittävä tietoturvaloukkaus ja yleinen mielipide vaatii muutosta, silloin voisi tulla voimaan vahvempaa tunnistamista koskeva sääntö. "Jotkut maat voisivat lisätä tällaisia asioita paikalliseen NIS II:n toteutukseensa; En ole vielä kuullut siitä, mutta se on varma mahdollisuus."
Sääntelytekijöiden lisäksi on olemassa myös kybervakuutusnäkökohtia, ja Shikiar sanoo, että FIDO2:n käyttöönotto voisi auttaa parantamaan politiikkaa, koska se osoittaa, että yritys on paremmin suojattu. "Yksinkertainen vaihe ottaa FIDO käyttöön MFA:lle voi torjua ykkösuhan ja auttaa edistämään käyttöönottoa."
Viimeisen vuosikymmenen aikana olemme nähneet monia tietomurtoja ja salasanan menetyksiä, ja yritykset kamppailevat edelleen tämän ongelman ja työntekijöiden online-tilassa pitämisen ja laitteiden, pöytätietokoneiden ja sovellusten käyttömahdollisuuksien kanssa. FIDO2:n käyttöönotto herättää aaltoja, jotta yritykset voivat olla paremmin turvassa yhteistä ongelmaa vastaan, ja useampia yrityksiä, jotka saavuttavat vaatimustenmukaisuuden, pitäisi olla tervetulleita.
Vahvista tietoturvaasi jo tänään
Jos haluat aloittaa matkasi kohti parempaa tietoturvaa, voimme auttaa.
ISMS-ratkaisumme mahdollistaa yksinkertaisen, turvallisen ja kestävän lähestymistavan tietoturvaan ja tiedonhallintaan ISO 27001 ja yli viisikymmentä muuta kehystä. Ymmärrä kilpailuetusi jo tänään.
