روز 25 فوریه اعلام شد که اندروید گواهی اتحادیه FIDO را دریافت کرده است. از این پس اپلیکیشن‌های اندروید می‌توانند از احراز هویت بدون پسورد استفاده کنند که از احراز هویت پسورد محور آسان‌تر است.

فیدو چیست؟

فیدو (FIDO) اتحادیه‌ای است که استانداردهایی را برای احراز هویت بدون گذرواژه تدوین می‌کند. احراز هویت با استفاده از گذرواژه مشکلات زیادی را به همراه دارد: کاربر باید به ازای سرویس‌های مختلف از گذرواژه‌های متفاوتی استفاده کند، گذرواژه‌ها باید طولانی و غیرقابل حدس باشند و به طور دوره‌ای تغییر کنند. در این صورت، به خاطر سپردن گذرواژه‌ها دشوار می‌شود. عدم رعایت این نکات نیز امنیت را با مخاطره رو‌به‌رو می‌کند.

احراز هویت منطبق با استانداردهای فیدو، نیاز به پسورد ندارد و همچنین نسبت به حملات فیشینگ و مرد میانی مقاوم است.

احراز هویت بدون پسورد چگونه کار می‌کند؟

در FIDO، می‌توان از راهکارهای مختلفی برای احراز هویت استفاده کرد: حسگر اثر انگشت، سیستم تشخیص چهره یا صدا، توکن‌های USB و… وقتی در یک سایت/سرویس ثبت‌نام می‌کنید (1)، ابتدا هویت خود را با اثر انگشت یا… معرفی می‌کنید (2). سپس یک جفت کلید (عمومی و خصوصی) منحصر به فرد ایجاد می‌شود (3). کلید خصوصی در دستگاه شما باقی می‌ماند و کلید عمومی به سرور وبسایت یا ارائه‌دهنده سرویس ارسال می‌شود. سرور، کلید عمومی را به همراه حساب کاربری شما در پایگاه داده خود ذخیره می‌کند (4). نه کلید خصوصی و نه اطلاعات بیومتریک/اثر انگشت به سرور فرستاده نمی‌شوند.

هنگامی که قصد لاگین به سرویس را داشته باشید (1)، باید مجددا با اثر انگشت هویت خود را معرفی کنید (2). پس از اینکه هویت شما برای دستگاه اثبات شد، دستگاه از بین کلیدهای ذخیره شده، کلید مربوط به سرویس مورد نظر را پیدا می‌کند (3). سرور داده‌ای تصادفی را با کلید عمومی شما رمزنگاری می‌کند و به شما می‌فرستد. دستگاه شما با استفاده از کلید خصوصی، این داده را رمزگشایی می‌کند و به سرور می‌فرستد. بدین ترتیب، سرور مطمئن می‌شود که شما کلید خصوصی مربوطه را دارید (و در نتیجه از هویت شما مطمئن می‌شود) بدون آنکه کلید خصوصی به سرور ارسال شده باشد (4).

گواهی اعطا شده به اندروید به چه معنا است؟

فیدو به دستگاه‌ها و سرویس‌دهنده‌های مختلف گواهی اعطا می‌کند. این گواهی نشان می‌دهد که دستگاه/سرویس‌دهنده الزامات احراز هویت فیدو را پیاده‌سازی کرده است و از امنیت کافی برخوردار هستند. اعطای این گواهی به اندروید به این معنا است که همه دستگاه‌هایی که دارای سیستم‌عامل اندروید نسخه 7.0 به بعد هستند، با فیدو سازگار اند. در نتیجه اپلیکیشن‌هایی که روی این دستگاه‌ها نصب شوند می‌توانند از احراز هویت فیدو استفاده کنند.

چالش‌های فیدو

هیچ راهکاری نمی‌تواند امنیت را صد در صد تضمین کند. فیدو نیز از این قاعده مستثنی نیست. برای مثال ممکن است اپلیکیشن‌های مخرب کلید خصوصی را سرقت کنند یا خود دستگاه احراز هویت مفقود شده یا مورد سرقت قرار گیرد. سرورها نیز از حملات مصون نیستند. البته دریافت گواهی فیدو مستلزم رعایت نکات امنیتی است، اما باز هم احتمال مشکلات امنیتی را به صفر نمی‌رساند.