Ett decennium av federerad identitet – är FIDO adopterad?
Samtalet kring att ta bort lösenord och säkerställa smidigare och säkrare autentiseringsprocesser har pågått i flera år. När FIDO Alliance rekryterar fler partners och fortsätter att göra landmärken tillkännagivanden, hur ser antagandet egentligen ut? Dan Raywood tittar in i det första decenniet av federerad identitet.
I år är det tio år sedan de första fröna till FIDO (Fast IDentity Online) Alliance såddes. Vid det första mötet, på Alla hjärtans dag 2013, beskrev sammankomsten av FIDO-alliansens ledare vad FIDO Alliance var tänkt att göra och vad dess nästa steg var.
Ett öppet industrikonsortium som "levererar standarder för enklare, starkare autentisering", konceptet var en öppen industristandard för säker autentisering online och mobil. FIDO Alliances ideologi, som bestod av inflytelserika namn från teknik, finansiella tjänster och större webbplatser, var att "möjliggöra enklare, starkare autentisering att skala på marknaden."
Den första produkten kom 18 månader senare när Google lanserade Säkerhetsnyckel, den första FIDO Universal Second Factor (FIDO U2F) autentiseringsdistributionen. Detta var en fysisk USB-enhet med andra faktor som erbjöd ett alternativ till sexsiffriga engångskoder. Året därpå släpptes ett hundratal FIDO-certifierade produkter, vilket steg till 150 när FIDO Alliance firade sitt andra jubileum.
Men några år in i dess liv introducerades FIDO2-standarden, vilket gör det möjligt för användare att "utnyttja vanliga enheter för att enkelt autentisera till onlinetjänster i både mobila och stationära miljöer."
FIDO2 är baserat på två standarder: WebAuthn och Client to Authenticator Protocol (CTAP), och byggt kring säkerhet och bekvämlighet: säkerhet eftersom inloggningsuppgifterna är unika på varje webbplats, lämnar aldrig användarens enhet och lagras aldrig på en server; och bekvämlighet, eftersom användare låser upp kryptografiska inloggningsuppgifter med inbyggda metoder som fingeravtrycksläsare eller kameror på sina enheter, eller genom att utnyttja FIDO-säkerhetsnycklar.
Det kanske starkaste stödet var från Apple förra året, när det meddelade lanseringen av den FIDO2-aktiverade Passkey, som är byggd på WebAuthn, och där en kombination av en offentlig och privat nyckel används och är kompatibla med Touch ID och Face ID.
Är FIDO 2 väl adopterad av industrin?
Under alla dessa år, hur väl accepterad och antagen har FIDO2-standarden blivit? Andrew Shikiar, verkställande direktör för FIDO Alliance, säger att FIDO Alliances ursprungliga idé var "att lösa dataintrångsproblemet eftersom lösenord orsakade den stora majoriteten, och om vi tar bort dem försvinner problemet."
När det gäller industriantagande, FIDO Alliance Autentiseringsbarometer från oktober 2022 upptäckte att lösenordsanvändningen hade minskat i de vertikaler som den övervakade, medan antagandet av multifaktorautentisering genom SMS-engångskoder ökade.
Shikiar tror att antagandet av FIDO2 fortsätter att öka, särskilt med inköpet från webbläsare, där Microsoft och Google "byggt in adoption som gör att FIDO kan ta på sig lösenord."
Shikiar säger att för den genomsnittliga personen förblir sådana som WebAuthn allmänt okända. Ändå kommer den ökade användningen av FIDO2 att innebära ökad MFA och minskad lösenordsanvändning, vilket kan leda till fler affärsfördelar. "Företag kommer att se mer medarbetarnas drifttid och framgångsfrekvensen är högre, och IT-kostnaderna sjunker", vilket leder till både kostnadsbesparingar och gladare anställda.
Ett företag som såg fördelen är Utöver identitet, som tillkännagav att de hade erhållit FIDO2-certifiering i början av 2023. En leverantör av lösenordslösa och MFA-produkter, säger dess marknadschef Patrick McBride att FIDO2 gynnar Beyond Identity på flera sätt. "På den tekniska fronten ger det oss ett standardsätt att utnyttja lösenord och flera sätt att integrera med andra FIDO2-kompatibla teknologier."
Var det värt besväret att bli FIDO2-kompatibelt som företag och gå med i detta initiativ? McBride säger att det är det, eftersom Beyond Identity är en "flerårig, kortbärande FIDO-alliansmedlem" med flera ytterligare produktplaner på färdplanen som kommer att dra nytta av olika delar av FIDO2-standarden.
"Så vi tror att FIDO-juicen definitivt är värd att klämma på – både på en teknisk och marknadsmässig utbildningsfront."
FIDO sätter standarden
Eftersom FIDO har antagits väl av framstående onlinenamn, förtjänar den nu att betraktas som en av de betydande cybersäkerhetsstandarderna? Shikiar håller med och säger att stark autentisering är en "högsta prioritet för företag" eftersom det möjliggör mer produktiva anställda och en bättre inloggningsfrekvens. I ett fall såg ett företag en ökad vinstlinje på grund av det. "Vi investerar i användarupplevelse, eftersom folk kommer att bli avskräckta om det är för komplicerat", säger han.
Nästa steg för FIDO2-antagande kommer att vara när det blir mandat av tillsynsmyndigheter och potentiellt även cyberförsäkringsleverantörer att säkerställa en säkrare och beprövad typ av autentisering för att minska riskerna för ett dataintrång bättre och ta bort lösenord.
Jonathan Armstrong är partner på Cordery och sade att även om han inte är medveten om någon reglering som kräver stark autentisering, skulle han inte utesluta att det händer i framtiden. "Ofta följer lagar och regler för datasäkerhet händelser", säger han. Om det finns ett betydande brott och en förändring krävs av den allmänna opinionen, då kan en regel för starkare autentisering träda i kraft. "Vissa länder skulle kunna lägga till sådant här i sin lokala implementering av NIS II; Jag har inte hört talas om det än, men det är säkert en möjlighet.”
Förutom regulatoriska faktorer finns det också cyberförsäkringsöverväganden, och Shikiar säger att antagandet av FIDO2 är något som kan hjälpa till med en bättre policy eftersom det visar att företaget är bättre skyddat. "Ett enkelt steg för att anta FIDO för MFA kan åtgärda ett nummer ett hot och kommer att hjälpa till att driva ytterligare adoption."
Under det senaste decenniet har vi sett många incidenter med dataintrång och lösenordsförlust, och företag fortsätter att kämpa mot denna fråga och frågan om att hålla anställda online och kunna komma åt enheter, stationära datorer och appar. Antagandet av FIDO2 skapar vågor för att göra det möjligt för företag att vara säkrare mot ett gemensamt problem, och fler företag som uppnår efterlevnad bör välkomnas.
Stärk din informationssäkerhet idag
Om du vill starta din resa mot bättre informationssäkerhet kan vi hjälpa dig.
Vår ISMS-lösning möjliggör ett enkelt, säkert och hållbart förhållningssätt till informationssäkerhet och datahantering med ISO 27001 och över femtio andra ramverk. Förverkliga din konkurrensfördel idag.
