Trong bài viết này, chúng ta sẽ có cái nhìn toàn cảnh về FIDO2 và phương thức hoạt động của xác thực không cần mật khẩu. Bạn sẽ tìm hiểu về nguồn gốc của FIDO2, ưu điểm và nhược điểm của nó, sự khác biệt giữa FIDO2, FIDO và WebAuthn cũng như UAF và U2F khác nhau như thế nào. Đến cuối bài viết này, bạn sẽ hiểu rõ về cách thức hoạt động của FIDO2, những vấn đề mà nó giải quyết, liệu bạn có cần chứng nhận FIDO2 hay không và chứng nhận đó đòi hỏi những gì.
FIDO2 là gì?
FIDO2 là bộ thông số kỹ thuật mới nhất từ FIDO Alliance. Nó cho phép sử dụng các thiết bị phổ biến để xác thực các dịch vụ trực tuyến trên cả môi trường di động và máy tính để bàn, sử dụng thông tin đăng nhập mã hoá duy nhất cho mọi trang web. Về cơ bản, FIDO2 là xác thực không cần mật khẩu.
Thường được gọi là “FIDO 2,” FIDO2 là một thuật ngữ bao quát cho các thông số kỹ thuật của Liên minh FIDO. Đây là thông số kỹ thuật Web Authentication (WebAuthn) của World Wide Web Consortium (W3C) và Giao thức Client-to-Authenticator (CTAP) của FIDO Alliance.
FIDO2 cung cấp giải pháp xác thực người dùng không cần mật khẩu và giải quyết các vấn đề về bảo mật, tiện lợi, đảm bảo quyền riêng tư và khả năng mở rộng mà phương pháp xác thực bằng mật khẩu truyền thống không làm được. Các dịch vụ trực tuyến có thể được truy cập thông qua API web tiêu chuẩn, có thể được tích hợp vào cơ sở hạ tầng nền tảng web.
Lịch sử của FIDO2
FIDO Alliance (Fast IDentity Online) được thành lập vào năm 2012 bởi PayPal, Lenovo, Nok Nok Labs, Validity Sensors, Infineon và Agnito để tìm cách tạo giao thức xác thực không cần mật khẩu. Google, Yubico và NXP đã tham gia liên minh vào năm 2013. Năm 2014, PayPal và Samsung đã hợp tác để ra mắt giao thức xác thực FIDO đầu tiên cho Samsung Galaxy S5, cho phép người dùng đăng nhập và mua sắm bằng một cú vuốt ngón tay và thanh toán bằng PayPal. Vào tháng 12 năm 2014, giao thức FIDO không mật khẩu đầy đủ đầu tiên đã được phát hành
Vào tháng 2 năm 2016, W3C đã sử dụng các API web FIDO2 2.0 do FIDO Alliance gửi và đưa ra một tiêu chuẩn mới. Mục tiêu đằng sau nỗ lực này là để FIDO Alliance hợp tác với W3C để chuẩn hóa xác thực FIDO trên các trình duyệt và cơ sở hạ tầng web. FIDO2 chính thức ra mắt vào tháng 4 năm 2018 và được triển khai trong Google Chrome, Mozilla Firefox và Microsoft Edge. Vào năm 2020, Safari trên iOS, MacOS BigSur và iPad OS 14 đã mở rộng hỗ trợ cho FIDO2.
Trong năm qua, chi tiêu cho xác thực đa yếu tố (MFA) đã tăng lên. Các tiêu chuẩn xác thực hiện đại hơn, chẳng hạn như FIDO2, và việc nhận ra rằng các cuộc tấn công lừa đảo và thông tin đăng nhập bị đánh cắp là nguyên nhân gây ra nhiều vi phạm an ninh, đã khiến 74% tổ chức lên kế hoạch tăng cường đầu tư vào công nghệ. Đặc biệt, FIDO2 và xác thực không cần mật khẩu đang trở nên nổi tiếng như những cách để giải quyết các lỗ hổng trong chiến lược MFA, vì 61% các tổ chức được khảo sát đã triển khai hoặc có kế hoạch triển khai chúng
Ưu điểm của FIDO2
Có rất nhiều ưu điểm đối với FIDO2, chủ yếu xoay quanh tính bảo mật, sự tiện lợi, quyền riêng tư và khả năng mở rộng. FIDO2 không lưu trữ thông tin đăng nhập trên máy chủ và sử dụng thông tin đăng nhập bằng mật mã duy nhất, giúp giảm khả năng lừa đảo, đánh cắp mật khẩu và tấn công lặp lại. Tội phạm mạng đã gia tăng đáng kể; 791.790 đơn khiếu nại đã được nộp vào năm 2020, tăng hơn 300.000 đơn so với năm trước. Khoản lỗ được báo cáo là hơn 4,2 tỷ đô la. Xác thực FIDO2 có thể giúp ngăn chặn làn sóng tấn công.
Ngoài ra, nó thuận tiện cho người dùng vì họ tận dụng đầu đọc dấu vân tay hoặc máy ảnh trên thiết bị di động của họ hoặc khóa bảo mật FIDO2 đơn giản để đăng nhập. Vì các khóa là duy nhất cho mỗi trang web nên người dùng không thể bị theo dõi trên các trang web
Trên thực tế, việc sử dụng khóa bảo mật FIDO2 trên thiết bị di động khá đơn giản. Apple và các nhà sản xuất thiết bị lớn khác đã đầu tư rất nhiều vào FIDO2, vì vậy việc triển khai xác thực đa yếu tố với thiết bị di động có thể được thực hiện mà không cần thay đổi chính thiết bị đó. Các tổ chức cần thực thi các tiêu chuẩn xác thực nghiêm ngặt, chẳng hạn như chỉ sử dụng các thiết bị FIDO2 được NIST chứng nhận, có thể sử dụng FIDO2 Attestation để đảm bảo thiết bị được phê duyệt cho MFA trước khi cho phép.
Ngoài ra, các trang web sử dụng lệnh gọi API JavaScript để bật FIDO2. Hầu hết các trình duyệt và nền tảng chính đều hỗ trợ nó, giúp dễ dàng mở rộng quy mô với xác thực không cần mật khẩu trên các website
Nhược điểm của FIDO2
FIDO2 có một nhược điểm lớn, chủ yếu là về sự tiện lợi. Người dùng được yêu cầu trải qua một bước bảo mật bổ sung thay vì nhập nhanh mật khẩu của họ (hoặc để trình duyệt tự động điền mật khẩu). Mặc dù bước này tăng cường bảo mật nhưng nó cũng có thể khiến việc đăng nhập vào nhiều trang web hỗ trợ FIDO2 trở nên mất thời gian
Một cân nhắc khác là mặc dù FIDO2 được hỗ trợ bởi các trình duyệt và nền tảng chính nhưng nó vẫn không được hỗ trợ rộng rãi. Không có nhiều trang web được FIDO2 hỗ trợ triển khai, mặc dù điều đó được dự đoán sẽ tăng lên khi FIDO2 đạt được sức hút
FIDO2 hoạt động như thế nào?
FIDO2 passwordless authentication sử dụng public-key để bảo mật và thuận tiện. Cả private và public key đều được sử dụng để xác thực người dùng là ai. Để tận dụng lợi thế của FIDO2, người dùng cần đăng ký tại trang web được FIDO2 hỗ trợ để chọn khóa bảo mật, chẳng hạn như FIDO2 Webauthn. Trang web tạo cặp khóa xác thực FIDO2 và thiết bị của người dùng sẽ gửi public key đến hệ thống website. Private Key được lưu trữ trên thiết bị của người dùng.
Sau đó, khi người dùng cần đăng nhập bằng FIDO2, họ sẽ làm theo một số bước. Họ cung cấp tên người dùng và email của mình, và dịch vụ cung cấp cho họ một yêu cầu về mật mã. Khóa FIDO2 được sử dụng để xác thực mật mã và họ được cấp quyền truy cập. Không có bí mật nào được trao đổi với máy chủ; khóa FIDO2 luôn nằm trên thiết bị của người dùng
FIDO2 so với FIDO so với WebAuthn
FIDO2 và WebAuthn không phải là các thuật ngữ có thể hoán đổi cho nhau. WebAuthn là thành phần chính của FIDO2. Bộ tiêu chuẩn và API cho phép trình duyệt giao tiếp với hệ điều hành và xử lý bằng cách sử dụng khóa mật mã. WebAuthn thuộc tiêu chuẩn FIDO2, nhưng nó được phát triển bởi W3C
Giao thức U2F và UAF FIDO: Đâu là sự khác biệt?
FIDO ban đầu được tạo ra để thúc đẩy các tiêu chuẩn xác thực mạnh mẽ hơn cho mật khẩu và thông tin đăng nhập. Giao thức không mật khẩu đầu tiên, được gọi là FIDO Universal Authentication Framework (FIDO UAF) và thứ hai, FIDO Universal Second Factor (FIDO U2F), được phát hành cùng lúc vào năm 2014
Hai giao thức này hoàn toàn khác nhau. FIDO UAF dành cho các dịch vụ trực tuyến muốn thêm xác thực đa yếu tố và xác thực không cần mật khẩu. UAF cho phép các phương pháp như quét vân tay, nhận dạng khuôn mặt hoặc nhập mã PIN cho mục đích xác thực. FIDO U2F là để tăng cường ủy quyền dựa trên mật khẩu với xác thực hai yếu tố và ban đầu yêu cầu một khóa vật lý, chẳng hạn như YubiKey, để xác minh. Cũng có thể sử dụng các thiết bị giao tiếp trường gần (NFC) và Bluetooth Low Energy (BLE).
FIDO2 được coi là sự kế thừa của FIDO UAF vì nó cho phép xác thực không cần mật khẩu bên cạnh xác minh danh tính hiện có. Sau FIDO2, U2F đã được gắn nhãn lại tại Client to Authenticator Protocol (CTAP1).
Cách đánh giá xem bạn có cần FIDO2 Certification hay không
FIDO Alliance có chương trình FIDO Certification để xác minh mức độ tuân thủ và bảo mật của các dịch vụ và ứng dụng khác nhau. Có nhiều cấp độ chứng nhận khác nhau để xác định mức độ tương thích giữa các tổ chức và sản phẩm của họ với các thông số kỹ thuật của FIDO. Có một chứng nhận cụ thể cho FIDO2 và Máy chủ được chứng nhận FIDO2 có thể chấp nhận bất kỳ trình xác thực được chứng nhận FIDO2 nào, ngay cả khi chúng được tạo bởi các công ty khác nhau. Chứng chỉ FIDO bao gồm
- Functional Certification, a comprehensive program
- Authenticator Level 1 (L1), the minimum required for FIDO2 certification
- Authenticator Level 1+
- Authenticator Level 2
- Authenticator Level 3
- Authenticator Level 3+
Các tổ chức không cần phải là thành viên của FIDO Alliance để nhận được chứng nhận FIDO2. Tất cả các tổ chức đăng ký chứng nhận đều phải trải qua quá trình tự xác thực, kiểm tra khả năng tương tác và chứng nhận cho trình xác thực của họ ít nhất là Level 1 (L1). Họ cũng phải nộp các tài liệu cần thiết. Nếu một tổ chức muốn sử dụng nhãn hiệu và biểu tượng được FIDO Certified chứng nhận trên sản phẩm, bao bì hoặc tài liệu tiếp thị của họ, họ cũng sẽ cần thực hiện Thỏa thuận cấp phép nhãn hiệu. Cuối cùng, các nhà cung cấp trình xác thực FIDO được khuyến khích sử dụng FIDO Alliance Metadata Service (MDS) để xuất bản các tuyên bố siêu dữ liệu cho các máy chủ FIDO
Chứng chỉ FIDO dành cho Chuyên gia
Ngoài chứng nhận sản phẩm, FIDO Alliance còn có chương trình FIDO Certified Professional. Nó đánh giá mức độ ứng viên có thể triển khai các giải pháp xác thực FIDO, phân tích các yêu cầu kinh doanh, thiết kế và triển khai các yêu cầu kỹ thuật, xác thực các yêu cầu kinh doanh và kỹ thuật để triển khai cũng như hướng dẫn những người khác về xác thực.
Chứng nhận này không dành riêng cho FIDO2 mà đánh giá kiến thức bao quát của một người nào đó về các tiêu chuẩn FIDO. Kiến trúc sư công nghệ, chuyên gia bảo mật, chuyên gia quản lý danh tính và truy cập, cũng như kỹ sư vận hành và hệ thống đều là những ứng cử viên sáng giá cho chương trình FIDO Certified Professional.
FIDO2 đã trở thành một tiêu chuẩn được các nhà sản xuất thiết bị lớn cũng như các nền tảng web áp dụng với ưu điểm chính là tính dễ sử dụng, quyền riêng tư và bảo mật. Nó cho phép xác thực không cần mật khẩu mà không cần lưu trữ khóa mật mã trên máy chủ, khiến việc xâm phạm thông tin đăng nhập trở nên khó khăn hơn nhiều. Liên minh FIDO đã làm việc dựa trên các tiêu chuẩn từ năm 2012. Với phiên bản mới nhất này, người dùng có thể tận dụng thiết bị di động của mình để xác thực thay vì cần khóa phần cứng. Sử dụng FIDO2 có thể giúp cải thiện việc quản lý truy cập. Sẽ thuận tiện hơn cho việc xác thực không cần mật khẩu khi nó được áp dụng rộng rãi hơn
