Een decennium van federatieve identiteit – wordt FIDO aangenomen?
De discussie over het verwijderen van wachtwoorden en het zorgen voor soepelere en veiligere authenticatieprocessen duurt al jaren. Hoe ziet de invoering van de FIDO-alliantie er eigenlijk uit, nu de FIDO-alliantie meer partners rekruteert en baanbrekende aankondigingen blijft doen? Dan Raywood kijkt naar het eerste decennium van gefedereerde identiteit.
Dit jaar is het tien jaar geleden dat de eerste zaden voor de FIDO (Fast IDentity Online) Alliance werden geplant. Tijdens die eerste bijeenkomst, op Valentijnsdag 2013, heeft de bijeenkomst van leiders van de FIDO-alliantie uiteengezet wat de doelstellingen zijn FIDO Alliance wat de bedoeling was en wat de volgende stappen waren.
Een open industrieconsortium “dat standaarden levert voor eenvoudigere, sterkere authenticatie”, het concept was voor een open industriestandaard voor online en mobiele veilige authenticatie. De ideologie van de FIDO Alliance, bestaande uit invloedrijke namen uit de technologie, financiële dienstverlening en grote websites, was om “eenvoudigere, sterkere authenticatie op de markt mogelijk te maken.”
Het eerste product kwam 18 maanden later toen Google lanceerde de Beveiligingssleutel, de eerste FIDO Universal Second Factor (FIDO U2F) authenticatie-implementatie. Dit was een fysiek USB-tweedefactorapparaat dat een alternatief bood voor eenmalige toegangscodes van zes cijfers. Het jaar daarop werden ongeveer honderd FIDO-gecertificeerde producten uitgebracht, oplopend tot 150 tegen de tijd dat de FIDO Alliance haar tweede verjaardag vierde.
Een paar jaar later werd echter de FIDO2-standaard geïntroduceerd, waardoor gebruikers “gewone apparaten konden gebruiken om zich eenvoudig te authenticeren bij online services in zowel mobiele als desktopomgevingen.”
FIDO2 is gebaseerd op twee standaarden: WebAuthn en Client to Authenticator Protocol (CTAP), en gebouwd rond veiligheid en gemak: veiligheid omdat de inloggegevens uniek zijn op elke website, nooit het apparaat van de gebruiker verlaten en nooit op een server worden opgeslagen; en gemak, aangezien gebruikers cryptografische inloggegevens ontgrendelen met ingebouwde methoden zoals vingerafdruklezers of camera's op hun apparaten, of door gebruik te maken van FIDO-beveiligingssleutels.
Misschien wel de krachtigste steunbetuiging kwam van Apple vorig jaar kondigde de lancering aan van de FIDO2-compatibele toegangssleutel, die is gebouwd op WebAuthn, en waarbij een combinatie van een openbare en privésleutel wordt gebruikt en compatibel is met Touch ID en Face ID.
Wordt FIDO 2 goed overgenomen door de industrie?
Hoe goed geaccepteerd en geadopteerd is de FIDO2-standaard al die jaren geworden? Andrew Shikiar, de uitvoerend directeur van de FIDO Alliance, zegt dat het oorspronkelijke concept van de FIDO Alliance was “om het probleem van datalekken op te lossen, aangezien wachtwoorden de overgrote meerderheid veroorzaakten, en als we ze wegnemen, verdwijnt het probleem.”
In termen van adoptie door de industrie, de FIDO Alliance Authenticatiebarometer uit oktober 2022 bleek dat het wachtwoordgebruik was gedaald in de branches die het in de gaten hield, terwijl de adoptie van multi-factor authenticatie via eenmalige sms-toegangscodes toenam.
Shikiar is van mening dat de adoptie van FIDO2 blijft toenemen, vooral door de buy-in van webbrowsers, waar Microsoft en Google ‘adoptie hebben ingebouwd waardoor FIDO in staat is wachtwoorden over te nemen’.
Shikiar zegt dat voor de gemiddelde persoon WebAuthn doorgaans onbekend blijft. Toch zal de toegenomen acceptatie van FIDO2 leiden tot meer MFA en minder wachtwoordgebruik, wat tot meer zakelijke voordelen kan leiden. “Bedrijven zullen zien dat hun medewerkers meer inzetbaar zijn, het slagingspercentage is hoger en de IT-kosten dalen”, wat leidt tot zowel kostenbesparingen als gelukkiger werknemers.
Eén bedrijf dat het voordeel zag, is dat wel Voorbij identiteit, dat aankondigde begin 2 de FIDO2023-certificering te hebben ontvangen. Chief marketing officer Patrick McBride, een leverancier van wachtwoordloze en MFA-producten, zegt dat FIDO2 Beyond Identity op meerdere manieren ten goede komt. “Op technologisch vlak biedt het ons een standaardmanier om wachtwoordsleutels te gebruiken en meerdere manieren om te integreren met andere FIDO2-compatibele technologieën.”
Was het de moeite waard om als bedrijf FIDO2-compliant te worden en deel te nemen aan dit initiatief? McBride zegt van wel, aangezien Beyond Identity een “meerjarig, kaartdragend FIDO-alliantielid” is met meerdere aanvullende productplannen op de routekaart die gebruik zullen maken van verschillende delen van de FIDO2-standaard.
“Dus wij geloven dat het FIDO-sap zeker de moeite waard is – zowel op technisch gebied als op het gebied van markteducatie.”
FIDO die de standaard bepaalt
Verdient FIDO, nu het goed is overgenomen door prominente online namen, het om te worden beschouwd als een van de belangrijke cyberbeveiligingsstandaarden? Shikiar is het daarmee eens en zegt dat sterke authenticatie een “topprioriteit is voor bedrijven”, omdat het productievere werknemers en een beter aanmeldingspercentage mogelijk maakt. In één geval zag een bedrijf hierdoor een hogere winstmarge. “We investeren in de gebruikerservaring, omdat mensen afgeschrikt worden als het te ingewikkeld wordt”, zegt hij.
De volgende stap voor de adoptie van FIDO2 zal zijn wanneer toezichthouders en mogelijk zelfs cyberverzekeraars de opdracht krijgen om te zorgen voor een veiliger en bewezen type authenticatie om de kans op een datalek beter te verkleinen en wachtwoorden te verwijderen.
Jonathan Armstrong is partner bij Corderij en zei dat hij weliswaar niet op de hoogte is van enige regelgeving die sterke authenticatie vereist, maar dat hij dit in de toekomst niet zal uitsluiten. “Vaak volgen wet- en regelgeving op het gebied van gegevensbeveiliging de gebeurtenissen”, zegt hij. Als er sprake is van een significante inbreuk en de publieke opinie een verandering vereist, dan zou daar een regel voor sterkere authenticatie van kracht kunnen worden. “Sommige landen zouden dit soort dingen kunnen toevoegen aan hun lokale implementatie van NIS II; Ik heb er nog niet van gehoord, maar het is zeker een mogelijkheid.”
Naast regelgevingsfactoren zijn er ook cyberverzekeringsoverwegingen, en Shikiar zegt dat de adoptie van FIDO2 iets is dat zou kunnen helpen bij een beter beleid, omdat het aantoont dat het bedrijf beter beschermd is. “Een eenvoudige stap om FIDO voor MFA in te voeren kan een bedreiging nummer één aanpakken en zal helpen verdere adoptie te stimuleren.”
De afgelopen tien jaar hebben we veel incidenten gezien op het gebied van datalekken en wachtwoordverlies. Bedrijven blijven worstelen met dit probleem en het probleem van het online houden van werknemers en toegang tot apparaten, desktops en apps. De adoptie van FIDO2 zorgt voor veel opschudding, waardoor bedrijven beter beschermd kunnen worden tegen een gemeenschappelijk probleem, en meer bedrijven die aan de regels voldoen zouden moeten worden verwelkomd.
Versterk vandaag nog uw informatiebeveiliging
Als u uw reis naar betere informatiebeveiliging wilt beginnen, kunnen wij u helpen.
Onze ISMS-oplossing maakt een eenvoudige, veilige en duurzame aanpak van informatiebeveiliging en gegevensbeheer mogelijk ISO 27001 en meer dan vijftig andere raamwerken. Realiseer vandaag nog uw concurrentievoordeel.
