FIDO ключовете са хардуерни устройства за сигурна автентикация без парола или като втори фактор. Използват се за защита на акаунти чрез криптография, вместо чрез кодове или SMS.
Какво означава FIDO
FIDO (Fast Identity Online) е стандарт, разработен от FIDO Alliance.
Основните стандарти са:
- FIDO2 (модерен стандарт)
- включва WebAuthn (уеб част) + CTAP (комуникация с устройството)
Как работят
При регистрация:
- ключът генерира публичен и частен ключ
- публичният се записва в сайта
- частният остава в устройството
При вход:
- сайтът изпраща предизвикателство (challenge)
- ключът го подписва с частния ключ
- достъпът се разрешава
Важно:
частният ключ никога не напуска устройството
Как изглеждат
Най-често:
- USB (като флашка)
- NFC (за телефон)
- Bluetooth (по-рядко)
Примери:
- YubiKey 5 Series
- Google Titan Security Key
Основни предимства
1. Устойчивост на phishing
- работи само с правилния домейн
- не може да се “подмами” като парола
2. Без пароли (passwordless)
- възможен login само с ключ + биометрия/PIN
3. Няма SMS/OTP риск
- няма SIM swap атаки
- няма кодове за прихващане
4. Висока сигурност за администратори
- идеален за достъп до:
- сървъри
- cloud акаунти
- админ панели
Недостатъци
- трябва да носиш физическо устройство
- ако го загубиш → трябва backup ключ
- не всички сайтове го поддържат (но вече масово се въвежда)
Къде се използват
Поддържат се от:
- Microsoft
- GitHub
и много други (вкл. enterprise системи)
Практически съвет
Минимална добра практика:
- 2 ключа:
- 1 основен
- 1 backup (съхраняван отделно)
Къде се вписват в security stack
- заместват или подсилват MFA
- част от IAM / Zero Trust стратегия
- елиминират най-слабата точка: паролите