Rychlost a pohodlí internetu přichází s běžnou nepříjemností - příliš mnoho hesel. Váš počítač, e-mail, kreditní karty, nákupní webové stránky, banka, hotelové věrnostní programy, sociální média, kabelové kanály, letecká společnost a další a další. Ve skutečnosti má typický uživatel asi 90 online účtů a každý potřebuje heslo.
Doufejme, že každý má jiné heslo, protože jinak jste v bezpečí jen tak, jako nejméně zabezpečený web, který navštěvujete. Hackeři rádi zkoušejí hesla: berou heslo ukradené z jednoho webu a používají ho na jiných webech. Přesto je více než polovina hesel znovu použita.
Tyto statistiky o počtu online účtů a opětovném použití hesel pocházejí od FIDO Alliance, otevřené průmyslové asociace, která se snaží snížit nadměrné spoléhání se na hesla ve světě.
FIDO – což je zkratka pro Fast IDentity Online – pracuje na změně povahy autentizace pomocí otevřených standardů, které jsou bezpečnější než hesla, jednodušší pro spotřebitele a poskytovatelé služeb je mohou snadněji zavádět a spravovat.
FIDO, oficiálně založené v roce 2012 a veřejně oznámené v roce 2013, začalo s hrstkou společností včetně společnosti Lenovo. Jako původní člen FIDO, spolu s PayPal, Nok Nok Labs, Validity Sensors, Infineon a Agnitio, i nadále hraje Lenovo vedoucí roli v posunu standardů FIDO od vývoje k širokému přijetí.
Aliance FIDO se značně rozrostla nad rámec původních členů a nyní zahrnuje více než 250 členů včetně Microsoftu, Googlu a Intelu, přičemž Apple se jako poslední připojil v únoru 2020. Rychlý růst skupiny nyní napomáhá rozsáhlé aplikaci standardů FIDO a odpovídajícímu nárůstu v počtu certifikovaných FIDO produktů.
V současné době existují stovky certifikovaných produktů FIDO – včetně Windows 10 – které posouvají FIDO blíže k cíli, kterým je, aby byly tyto produkty normou, nikoli výjimkou.
Pokračující růst je velmi uspokojující pro Joe Pennisiho z Lenovo, který sehrál hlavní roli při založení a růstu aliance. Pennisi, uznávaný inženýr společnosti Lenovo a vedoucí laboratoře PCSD Global Security Lab, poprvé slyšel o této myšlence v roce 2010, když ho kontaktoval Ramesh Kesanupalli, zakladatel a hnací síla FIDO. Pennisi znal Kesanupalliho, zakladatele Nok Nok Labs, díky spolupráci na snímačích otisků prstů v ThinkPadech.
Pennisi zapojil Lenovo do aliance od samého začátku, připojil se jako jeden ze čtyř zakládajících členů představenstva, od začátku sloužil jako pokladník, kde řídil finanční růst skupiny a investice. V obou rolích figuruje dodnes.
Jako součást vedení FIDO pomáhal s náborem nových členů, kde měl značný úspěch, když v roce 2013 přivedl Google, a Microsoft v roce 2014, jako jedny z mnoha technologických společností, webových obchodníků a finančních institucí se zájmem o zlepšení online zabezpečení.
"Co mě na tom zaujalo nejvíce, je to, že se jedná o celosvětový problém, který postihuje téměř každého," řekl Pennisi.
"Nazýváme to "problém hesel", protože je obecně známo, že je lze napadnout z obou stran - ze strany uživatele i poskytovatele služby. Pokud je heslo příliš slabé, můžu jej prolomit, naopak pokud je databaze hesel nedostatečně chráněna, můžu nabourat ji."
Slabost hesel také vytváří velkou motivaci pro hackery, kteří se mohou zaměřit na databáze hesel a získat miliony, možná miliardy uživatelských ID a hesel.
Vzhledem k tomu, že Pennisi pracoval na čtečkách otisků prstů sedm let, věděl, že existují lepší způsoby, jak zabezpečit on-line aktivity, jako je například biometrie. Neexistoval však žádný průmyslový standard pro online služby, které by fungovaly s biometrickými údaji, jako jsou čtečky otisků prstů, což bránilo širokému použití.
Když Aliance FIDO začínala, první výzvou, které čelila, bylo vytvoření několika pracovních skupin, které by stanovily standard a pracovaly na technických detailech protokolu. To umožňovalo vytvořit standardy přímo v rámci aliance.
Zatímco probíhal vývoj specifikací, připojil se k FIDO David Rivera, hlavní inženýr Lenovo a ředitel pro oddělení ochrany zařízení spadající pod Lenovo Global Security Lab. Rivera založil, a nadále vede, certifikační skupinu. Ta má za úkol nastavit pravidla a procesy, podle který se testují a schvalují produkty jako FIDO certifikované.
„Potřebovali jsme se ujistit, že jakmile budou nastaveny standardy FIDO, budeme mít k dispozici i testovací nástroje a procesy, abychom se ujistili, že dodavatelé vytvářející produkty využívající standardy FIDO implementují specifikace správně, a že produkty od různých dodavatelů dobře spolupracují,“ Rivera řekl.
"To zahrnuje spojení prodejců, stanovení procesů a následné testování produktů, abychom se ujistili, že spolu všechno komunikuje tak, jak bylo navrženo.”
Jak tedy FIDO nahrazuje hesla?
Krátkou odpovědí jsou asymetrické šifrovací klíče, dvojice klíčů, které spolu souvisí, ale nejsou totožné. V páru klíčů jeden klíč zašifruje odesílaná data, druhý klíč dešifruje.
To se liší od šifrování například na pevném disku, kde jeden klíč šifruje i dešifruje. S FIDO bude mít váš počítač jedinečný soukromý klíč pro každou webovou stránku. Na druhé straně web, který chcete použít, bude mít doplňkový veřejný klíč.
"Toto veřejné/soukromé připojení by bylo jiné pro každou online službu a pro každé zařízení, které máte," řekl Pennisi.
Z hlediska zabezpečení nyní jde o to, jak dobře mohu chránit klíč na svém zařízení. Pomáhá také to, že nyní je návratnost investice útočníka mnohem, mnohem menší.
Hackování zařízení může poskytnout informace pouze o jediném uživateli a hackování online služby získá databázi veřejných klíčů, které nemají žádnou hodnotu pro ověřování této služby, protože všechny páry klíčů jsou jedinečné, takže všechny ostatní služby nejsou ovlivněny.
„Certifikace FIDO zahrnuje povinnou bezpečnostní certifikaci pro zařízení, která pomáhá uživatelům i webovým stránkám poskytnout jistotu, že zařízení odvádějí dobrou práci při ochraně klíčů,“ řekl Rivera. "Kromě toho FIDO nedávno také přidal biometrickou certifikaci, která poskytuje ještě silnější důkaz, že zařízení, která používají biometrii, odvedou dobrou práci při nahrazení hesel."
Jak Pennisi, tak Rivera očekávají, že počet zařízení s touto certifikací v příštích několika letech rychle poroste, protože standard přijímá stále více společností a uživatelé vidí výhody. Přijetí FIDO ve Windows 10 společností Microsoft v loňském roce bylo katalyzátorem letošního růstu a doufají, že připojení k Applu bude dalším impulsem, který podpoří větší integraci.
„Bylo skvělé pracovat na vyřešení opravdu velkého problému zákazníků a je skvělé, že Lenovo tam bylo od začátku,“ řekl Rivera.
Práce FIDO rozhodně není u konce. I když v radě FIDO jsou zastoupeny mnohé velké finanční organizace, finanční instituce zůstávají jednou z největších oblastí, které neadoptovaly tento způsob zabezpečení.
"Tento sektor byl značně opatrný," řekl Pennisi. "Pokud se přihlásíte k bankovnímu účtu, banka před povolením připojení chce vědět, že jste to opravdu vy, takže na této oblasti skupina pracuje."
Pennisi řekl, že FIDO začíná zkoumat zařízení IoT (Internet of Things), stejně jako ověřování identity na podporu standardizovaných metod ověřování identit pro zřizování i obnovu účtů, což jsou všechno oblasti, které potřebují inovace ke zlepšení celkového online prostředí.
Zdroj: Magazín Lenovo