Korunk digitalizációs folyamatai miatt már senki sem kerülheti meg, hogy a legkülönbözőbb informatikai rendszerekhez legyen hozzáférése. A munkahelyen kivül a hivatalos ügyintézés, a vásárlás, és a szórakozás is egyre inkább digitális platformokon, nagyrészt felhős alkalmazásokon keresztül történik. Bár ezek a hozzáférések az életünk elválaszthatatlan részei lettek, ennek ellenére a felhasználók még mindig nem kezelik kellő óvatóssággal a jelszavaikat. Erre kínál egy egyszerű megoldást a FIDO.
Egységes, gyártfüggetlen azonosítás
A felhasználók kényelmességből gyakran könnyen kitalálható jelszavakat alkalmaznak, nagyon sok esetben pedig ugyanazt a jelszót használjak több szolgáltatáshoz is. Ez nagyon kiszolgáltatottá teszi őket egy pishing támadás vagy egy alkalmazás hibáját kihasználó jelszólopás esetén. Ilyenkor nemcsak az adott szolgáltatáshoz tartozó fiók válik elérhetővé, hanem más rendszerek is védtelenné válhatnak.
Szerencsére ma már a technológia segít abban, hogy ne csak bonyolult, gyakran változtatott, megjegyezhetetlen jelszavakkal lehessen védekezni a probléma ellen, hanem a multifaktoros azonosítás révén (MFA) felhasználóbarát módon adjunk lehetőséget a szolgáltatások biztonságos elérésére.
A multifaktoros azonosítás során a felhasználónéven és jelszón kívül további fizikai faktorokat is bevonhatunk az azonosítási folyamatba, amelyek lehetnek biometrikus adatok (ujjlenyomat, írisz), fizikai eszközök (smartcard, usb token) vagy email címre, sms-ben, esetleg mobileszközön futó dedikált alkalmazásba kiküldött egyszer használatos kódok.
Ezeknek a technológiák az elterjedését lassítja, hogy minden gyártó egyedi megoldásokat használ, egy-egy alkalmazás alkalmassá tétele egy adott módszerrel való kompatibilitásra jelentős változtatásokat igényelhet. Erre a problémára reagálva jött létre a FIDO (Fast Identity Online) egy egységes, gyártófüggetlen, nyílt szabvány, ami lehetővé teszi az online azonosítást és hitelesítést. A FIDO szabvány célja, hogy az egyszerű jelszavakat leváltsa a lehető legnagyobb biztonságot nyújtó és könnyű integrálhatóságú megoldásokkal, miközben szem előtt tartja az egyszerű használhatóságot is.
Mivel a FIDO Alliance több mint 250 iparági résztvevőt foglal magába és már 600 feletti a FIDO tanúsítvánnyal rendelkező megoldások száma. Elmondhatjuk tehát, hogy az általa használt protokollok és eszközök széleskörben használhatók. Lehetővé teszik, hogy több megoldáshoz is párhuzamosan használjuk őket, ezért költségmegtakarítást jelentenek az ügyfelek részére más, gyártófüggő megoldásokkal szemben.
Jó a FIDO szabvány az alkalmazásfejlesztőknek is, mert csak egyfajta hitelesítési módra kell az alkalmazásukat felkészíteni, de az mégis számos gyártó széles termékválasztékával képes együttműködni.
FIDO-t már számtalan platform esetében lehet használni. Ilyenek a Microsoft Azure AD, M365 access, sima asztali Windows login, privileged access management termékek, remote access hozzáférések, valamint a webes alkalmazások széles köre, legyen az belső vagy interneten elérhető publikus alkalmazás, beleértve a banki rendszereket is. Windows, MacOS, Linux mellett mobil operációs rendszerek is támogatottak, ahogy az Andriod és IOS is.
FIDO megoldások a Thalestől
A FIDO Alliance-nek fontos tagja a francia székhelyű nemzetközi nagyvállalat, a Thales is, amely a védelmi, légi és űripari, közlekedési és biztonsági piacokon tevékenykedik. HSM-jei, PKI technológiái piacvezetőnek számítanak, de az azonosítás és hitelesítés terén is a legnagyobbak közé tartoznak, amit számos felvásárlással is erősítettel, úgy mint mint a Safenet vagy Gemalto akvizíciója, és széles FIDO kompatibilis termékporfolióval rendelkezik: OTP generáló fizikai tokenek, smartcard-ok, usb-s eToken-ek (usb-c es usb-a csatlakozóval is), contactless megoldások (NFC), de van SMS alapú szolgáltatás is FIDO kompatibilis változatban, valamint egy egyedi úgynevezett. gridToken megoldás, ahol például egy weboldal egy betűkből álló négyzetet jelenít meg ahonnan választva a felhasználó egy egyedi minta alapján írja be megfelelő sorrendben a karaktereket, mint második faktort.
Fontos, hogy a Thales FIDO kompatibilis token-jei opcionálisan kompatibilisek a gyartó PKI-s megoldásaival is, valamint a legkülönbözőbb szabványú fizikai beléptető rendszerekkel is kombinálhatóak, és van még biometrikus, ujjlenyomat alapú tokenjük is.
A FIDO szabvány miatt természetesen a gyártó FIDO tokenjei más third-party IDP és CMS rendszerekhez is használhatóak, például ilyen a Versasec, az AWS és a Microsoft, valamint ezek rendelhetők co-branded változatban is, illetve FIPS és Common Criteria tanúsítvánnyal rendelkező változatok is léteznek.
A Thales továbbá rendelkezik egy, -természetesen a FIDO szabvánnyal is kompatibilis- hozzáférés-kezelő és hitelesítő szolgáltatási megoldással, az STA-val (SafeNet Trusted Access), amely lehetővé teszi a felhasználók számára, hogy biztonságosan és egyszerűen hozzáférjenek az alkalmazásokhoz és az adatokhoz bármilyen eszközről és helyről. A SafeNet Trusted Access biztonságos hozzáférést tesz lehetővé a felhőalapú alkalmazásokhoz, beleértve a SaaS és az egyéb webes alkalmazásokat, valamint a helyi erőforrásokhoz is.
A STA biztosítja a token-ek kiosztását és nyilvántartását a felhasználók számara, a felhasználó managementet, ugyanakkor integrálható külső IdP szolgáltatóval, de az STA is képes idP szolgáltatást nyújtani, valamint ügyfél portált tesz elérhetővé az általa biztosított erőforrások közvetlen elérésére érdekében, és SAML alapokon böngésző alapú SSO szolgáltatást is biztosít webalkalmazások számára. Ezért rugalmasan illeszthető bármelyik szervezet informatikai rendszereihez.
Röviden összefoglalva: Már nem csak a minden alkalmazáshoz egyedi, bonyolult és állandóan változó jelszavak használatának mindenáron kikényszerítése az út, amelyek ráadásul önmagukban még nem is jelentenek tökéletes védelmet, cserébe viszont biztosan tönkreteszik a felhasználói élményt, és szinte teljesíthetetlen követelményként kezelhetjük őket.
Ezzel szemben egy FIDO alapú MFA megoldással, amire tökéletes példa a Thales STA csomagja, az elérhető legnagyobb biztonságot garantálhatjuk az azonosítási és hitelesítési folyamataink számára, miközben felhasználóbarát szolgáltatást nyújtunk általa.
A blogbejegyzés az IT Business cikkének átdolgozott változata.