De FIDO standaard (Fast Identity Online) is een manier om de veiligheid van inloggen te verbeteren zonder gebruik te maken van traditionele wachtwoorden. Om gebruikers te authentiseren maakt deze standaard gebruik van speciale hard- of software, zoals USB-sleutels en biometrische sensoren.
De FIDO Alliance is een non-profit organisatie die is opgericht om wereldwijd een open, interoperabele en schaalbare authenticatiestandaard te ontwikkelen en te promoten. De FIDO Alliance streeft naar het beëindigen van het gebruik van wachtwoorden als belangrijkste vorm van online authenticatie en het vervangen van wachtwoorden door veiligere en meer gebruiksvriendelijke authenticatiemethoden. De FIDO Alliance heeft een reeks specificaties en protocollen ontwikkeld, zoals het FIDO UAF (Universal Authentication Framework) en FIDO2, die worden ondersteund door veel toonaangevende technologische en financiële bedrijven.
Hoe werkt het?
FIDO werkt door gebruik te maken van open source standaarden en protocollen, die zijn ontworpen om veilige authenticatie te bieden zonder dat er wachtwoorden of andere persoonlijke identificatiegegevens worden uitgewisseld.
Er zijn twee componenten in het FIDO-authenticatieproces: de FIDO-client (de app of het apparaat waarmee de gebruiker zich aanmeldt) en de FIDO-server (de authenticatieservice die door de app, website of serviceprovider wordt beheerd). Wanneer een gebruiker zich wil aanmelden, stuurt de FIDO-client een verzoek naar de FIDO-server om authenticatie te starten. De FIDO-server genereert dan een cryptografische uitdaging, die naar de FIDO-client wordt gestuurd.
De FIDO-client gebruikt vervolgens een biometrische scanner (zoals een vingerafdrukscanner) of een ander authenticatiemiddel (zoals een hardware beveiligingssleutel) om de authenticatiereactie te genereren. Deze reactie is een cryptografisch bewijs dat de gebruiker de eigenaar is van het apparaat of het account en wordt naar de FIDO-server gestuurd voor verificatie. Na de verificatie geeft de FIDO-server de gebruiker toegang tot de app of het account. Er worden geen wachtwoorden of andere persoonlijke identificatiegegevens verzonden of opgeslagen, waardoor het risico op phishing, hacking en gegevensinbreuken wordt verminderd.
Hoe kunnen organisaties dit toepassen?
Organisaties kunnen FIDO implementeren door FIDO-compatibele hardware en software aan te schaffen. Dit kunnen onder andere USB-sleutels zijn, maar ook biometrische sensoren zoals vingerafdruklezers en gezichtsherkenning (ingebouwd in verschillende devices).
Een belangrijk voordeel van deze methode is dat gebruikers niet meer hoeven te onthouden welke wachtwoorden ze gebruiken voor welke websites. Dit maakt het beheren van wachtwoorden veel gemakkelijker voor gebruikers, waardoor het risico op fouten en kwetsbaarheden wordt verminderd.
Uit onderzoek van Verizon, gedocumenteerd in het Data Breach Investigation Report 2023[1], is gebleken dat social engineering een van de meest voorkomende dreigingsfactoren is. Als organisaties de FIDO-standaard implementeren, kunnen ze deze dreigingsfactor verminderen. Omdat FIDO-authenticatoren geen wachtwoorden opslaan, is het veel moeilijker voor hackers om gevoelige informatie te stelen.
Wat te doen bij verlies, diefstal of een defect?
Het kan voorkomen dat je je FIDO2 device verliest, dat het gestolen wordt of defect raakt. Als gebruiker is het belangrijk om dit te melden bij je organisatie en als organisatie is het belangrijk om voor dit soort gevallen een herstelprocedure te hebben. Hoe kun je het account herstellen? Is FIDO de enige manier van authenticeren? Of is er nog een alternatieve mogelijkheid om in te loggen? Veel FIDO2 ondersteunende partijen hebben altijd de mogelijkheid om nog toegang te krijgen middels een alternatieve (authenticatie) methode, zoals traditionele wachtwoorden.
Samenvattend
De FIDO-standaard is een belangrijke ontwikkeling, die de manier waarop we ons aanmelden kan veranderen. Door gebruik te maken van speciale hardware en publieke/private sleutelparen, biedt FIDO een veel hoger niveau van beveiliging dan traditionele wachtwoorden.
Organisaties kunnen deze standaard implementeren om de veiligheid en gebruikerservaring van hun online diensten te verbeteren. Dit zal helpen om een van de grootste dreigingsfactoren te verkleinen, namelijk het risico op datadiefstal. Tegelijkertijd neemt het gemak voor gebruikers toe, zij hoeven geen complexe wachtwoorden meer te onthouden.
Wil je meer weten over het implementeren van FIDO of een andere informatie-beveiligingstoepassing? Neem dan contact op met Kenneth Smit (k.smit@ventus.nl).
-> Bekijk de mogelijkheden voor professionals
-> Bekijk de mogelijkheden voor werkgevers
[1] https://www.verizon.com/business/resources/reports/dbir/2023/introduction/