FIDO Alliance กลุ่มอุตสาหกรรมที่รวมบริษัททั้งผู้ให้บริการเว็บ และผู้ผลิตฮาร์ดแวร์รายสำคัญ เช่น Google, PayPal, NXP เปิดมาตรฐาน FIDO รุ่นแรกเพื่อรับความเห็นแล้วหลังตั้งกลุ่มมาได้ 9 เดือน
FIDO แก้ปัญหาที่ผู้ใช้ตั้งรหัสผ่านง่ายเกินไปด้วยการใช้ก ุญแจสาธารณะในการล็อกอินเสมอ เมื่อผู้ใช้ลงทะเบียนบริการใดๆ ครั้งแรก เครื่องของผู้ใช้จะต้องสร้างคู่กุญแจสำหรับบริการนั้ นๆ ขึ้นมา แล้วส่งกุญแจสาธารณะไปยังผู้ให้บริการเช่นเว็บ หรือเซิร์ฟเวอร์ของแอพพลิเคชั่น
เมื่อล็อกอิน FIDO ระบุให้ระบบปฎิบัติการหรือเบราว์เซอร์ต้องยืนยันตัวต นกับผู้ใช้อีกครั้งว่าจะล็อกอินหรือไม่ แต่อาจจะยืนยันด้วยกระบวนการที่ง่ายกว่ารหัสผ่านเดิม ๆ เช่น การใช้ลายนิ้วมือ, PIN เพียง 4 หลัก, หรือเสียง เมื่อยืนยันแล้วระบบปฎิบัติการจะรับค่า challenge จากผู้ให้บริการ แล้วเข้ารหัสด้วยกุญแจลับ แล้วส่งผลที่ได้ให้กับผู้ให้บริการต่อไป
มาตรฐาน FIDO มีสองแบบ ได้แก่ UAF สำหรับการล็อกอินโดยไม่ต้องมีอุปกรณ์เพิ่มเติม และ U2F สำหรับการล็อกอินด้วย token อีกชุดหนึ่ง ตัวมาตรฐานระบุอย่างละเอียดนับแต่กระบวนการทำงานของฮ าร์ดแวร์, ระบบปฎิบัติการ, API การเขียนโปรแกรมบนจาวาสคริปต์, และข้อมูลที่ส่งไปมา
ตอนนี้ Nok Nok Labs ประกาศความพร้อมโซลูชั่น FIDO แล้ว แม้ว่ามาตรฐานยังไม่นิ่งก็ตาม
ที่มา - FIDO, The Register

FIDO, Open Standard, Security




อ่านต่อ...