يتكون FIDO2 من بروتوكولَين: مصادقة الويب (WebAuthn) وبروتوكول العميل إلى المصادق 2 (CTAP2). معًا، يمكِّن هذان البروتوكولان المستخدمين من تسجيل الدخول إلى موقع إلكتروني أو تطبيق دون الحاجة إلى استخدام كلمات المرور التقليدية.
بدلًا من كلمات المرور، يستخدم التحقق من الهوية عبر FIDO2 الطرق نفسها التي يستخدمها الأشخاص لفتح أجهزتهم مثل الهواتف الذكية أو أجهزة الكمبيوتر المحمولة. يمكن لمستخدمي FIDO2 التحقق من هويتهم عبر التعرُّف على الوجه، أو قارئ بصمة الإصبع، أو إدخال رمز PIN. ويمكنهم أيضًا استخدام جهاز مادي يُعرَف بمفتاح أمان FIDO2.
نظرًا لأن FIDO2 يعتمد على تشفير المفتاح العام، فإنه يوفر طريقة مصادقة أكثر أمانًا من كلمات المرور التي كثيرًا ما يستهدفها المهاجمون. يُفيد IBM® X-Force Threat Intelligence Index أن نحو ثلث الهجمات الإلكترونية تتضمن اختراق حسابات مستخدمين صالحة.
من خلال التخلص من كلمات المرور، يقلِّل FIDO2 من العديد من تهديدات الأمن لإلكتروني مثل التصيد الاحتيالي، وهجمات الوسيط، والاستيلاء على الحسابات. كما يوفر تجربة مستخدم أكثر سهولة، إذ لا حاجة لتذكر كلمات المرور أو تغييرها بانتظام أو التعامل مع عمليات إعادة التعيين والاسترداد.
النشرة الإخبارية الخاصة بالمجال
ابقَ على اطلاع دومًا بأهم—اتجاهات المجال وأكثرها إثارة للفضول—بشأن الذكاء الاصطناعي والأتمتة والبيانات وغيرها الكثير مع نشرة Think الإخبارية. راجع بيان الخصوصية لشركة IBM.
سيتم تسليم اشتراكك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك هنا. راجع بيان خصوصية IBM لمزيد من المعلومات.
تستخدم مصادقة FIDO2 تقنية تشفير المفتاح العام لإنشاء زوج مفاتيح تشفيري فريد، يُعرَف باسم "مفتاح المرور"، ويرتبط بحساب المستخدم. يتكوّن زوج المفاتيح من مفتاح عام يبقى لدى مزوِّد الخدمة، ومفتاح خاص يتم تخزينه على جهاز المستخدم.
عندما يسجِّل المستخدم الدخول إلى حسابه، يُرسِل مزوِّد الخدمة تحديًا -عادةً ما يكون سلسلة عشوائية من الأحرف- إلى جهاز المستخدم. يطلب الجهاز من المستخدم التحقق من هويته عبر إدخال رمز PIN أو باستخدام المصادقة الحيوية.
إذا نجح المستخدم في المصادقة، يستخدِم الجهاز المفتاح الخاص لتوقيع التحدي وإرساله إلى مزود الخدمة. يستخدم مزود الخدمة المفتاح العام للتحقق من أن المفتاح الخاص الصحيح قد تم استخدامه، وفي حال التأكد، يمنح المستخدم حق الوصول إلى حسابه.
يمكن استخدام مفتاح المرور المخزَّن على جهاز لتسجيل الدخول إلى خدمة على جهاز آخر. على سبيل المثال، إذا أنشأ المستخدم مفتاح مرور لحساب بريده الإلكتروني على هاتفه المحمول، فلا يزال بإمكانه تسجيل الدخول إلى حساب البريد الإلكتروني من خلال جهاز كمبيوتر محمول. سيُكمل المستخدم تحدي المصادقة على الجهاز المحمول المسجَّل.
يدعم FIDO2 أيضًا استخدام مفاتيح الأمان، مثل YubiKey أو Google Titan، كطريقة للمصادقة.
مفاتيح الأمان، والمعروفة أيضًا باسم "الرموز المادية"، هي أجهزة صغيرة تنقِل معلومات المصادقة مباشرةً إلى الخدمة. يمكن توصيلها عبر Bluetooth أو بروتوكولات الاتصال قريب المدى (NFC) أو منفذ USB. يمكن للمستخدمين استخدام مفتاح أمان FIDO2 بدلًا من البيانات البيومترية أو رمز PIN للتحقق من هويتهم وتوقيع التحدي.
نظرًا لأن المفتاح الخاص مخزَّن على جهاز المستخدم ولا يغادره أبدًا، فإن احتمال حدوث خرق أمني يكون منخفضًا. إذ لا يستطيع المتسللون سرقته عن طريق اختراق قاعدة بيانات أو اعتراض الاتصالات. والمفتاح العام الذي يحتفظ به مزود الخدمة لا يحتوي على معلومات حساسة، ولا يشكِّل قيمة كبيرة للمتسللين.
لنفترض أن مستخدمًا يريد استخدام مصادقة FIDO لتسجيل الدخول إلى حساب بريده الإلكتروني. ستبدو عملية إنشاء مفتاح المرور والمصادقة من خلاله على النحو التالي:
تدعم FIDO نوعين من مفاتيح المرور: مفاتيح المرور المتزامنة ومفاتيح المرور المرتبطة بالجهاز.
يمكن استخدام مفاتيح المرور المتزامنة عبر عدة أجهزة، ما يجعلها أكثر سهولة في الاستخدام. يمكن لمديري بيانات الاعتماد مثل Apple Passwords وWindows Hello وGoogle Password Manager تخزين مفاتيح المرور المتزامنة وإتاحتها للمستخدمين على أي جهاز.
على سبيل المثال، قد يسجِّل المستخدم مفتاح مرور على هاتف ذكي للوصول إلى تطبيق بنكي. يتوفر مفتاح المرور نفسه من خلال مدير بيانات الاعتماد عندما يسجِّل المستخدم الدخول إلى التطبيق البنكي باستخدام الكمبيوتر المحمول أو الجهاز اللوحي.
يرتبط هذا النوع من مفاتيح المرور بجهاز واحد، ما يوفر أعلى مستوى من الأمان.
عادةً ما يتم الوصول إلى مفاتيح المرور المرتبطة بالجهاز باستخدام مفتاح أمان مادي متصل بجهاز معين. لا يمكن لمفتاح المرور مغادرة الجهاز، لذلك فهو أقل عرضةً للوصول غير المصرح به.
غالبًا ما تُستخدم مفاتيح المرور المرتبطة بالجهاز للوصول إلى معلومات حساسة للغاية مثل البيانات المالية أو الملكية الفكرية للشركات أو المواد الحكومية السرية.
في عام 2013، شكَّلت مجموعة من شركات التكنولوجيا تحالف FIDO. كان هدف المجموعة هو تقليل اعتماد العالم على المصادقة المعتمدة على كلمات المرور.
بعد عام، قدَّم التحالف معيار FIDO 1.0، والذي تضمن بروتوكولَين: إطار المصادقة الشامل (UAF) والعامل الثاني الشامل (U2F). وضع المعيار الجديد الأساس للمصادقة دون كلمات مرور، لكنه كان محدود النطاق.
على سبيل المثال، ركَّز معيار FIDO 1.0 بشكل أساسي على توفير عامل ثانٍ للمصادقة المعتمدة على كلمات المرور، بدلًا من التخلص من كلمات المرور تمامًا. كما أنه كان يفتقر إلى التوحيد القياسي الذي يسمح باعتماده بسهولة عبر مختلف المنصات والتطبيقات ومتصفحات الويب.
عالج تحالف FIDO هذه القيود عندما أطلق البروتوكولين الجديدين ضمن FIDO2 في عام 2018: بروتوكول العميل إلى جهاز المصادقة (CTAP2) والمصادقة عبر الويب (WebAuthn).
يوفر CTAP2 تجربة مصادقة دون كلمات مرور تعتمد على عامل واحد فقط. يعمل WebAuthn على تسهيل اعتماد FIDO من خلال واجهة برمجة تطبيقات (API) موحَّدة تعمل عبر المتصفح. ساهمت هذه الوظائف الموسعة في جعل FIDO2 معيارًا واسع الاستخدام للمصادقة على المواقع والتطبيقات والخدمات عبر الإنترنت.
يستخدم ملايين الأشخاص اليوم مصادقة FIDO2 لتسجيل الدخول إلى المواقع والتطبيقات. يدعم معظم أجهزة المستخدمين، ومتصفحات الويب، وأنظمةتسجيل الدخول الموحَّد ، وحلولإدارة الهوية والوصول (IAM)، وخوادم الويب، وأنظمة التشغيل -بما في ذلك iOS وMacOS وAndroid وWindows- معيار FIDO2.
2013: تم تأسيس FIDO Alliance بهدف تقليل الاعتماد على المصادقة المعتمدة على كلمات المرور.
2014: تم إصدار FIDO 1.0.
2015: بدأ الاعتراف بمعايير FIDO في جميع أنحاء العالم. توسَّع FIDO Alliance ليضم أكثر من 250 عضوًا، بما في ذلك شركات مثل Microsoft وGoogle وPayPal وBank of America.
2016: بدأ FIDO Alliance بالعمل على FIDO2. تتعاون المجموعة مع World Wide Web Consortium المؤثِّر لضمان دعم المعيار الجديد عبر مختلف المتصفحات والمنصات.
2018: تم إصدار FIDO2، وهو يوسِّع إمكانات FIDO 1.0.
2020: يحظى FIDO2 بدعم وتنفيذ واسع عبر أبرز متصفحات الويب وأنظمة التشغيل، بما في ذلك Firefox وChrome وEdge وSafari وAndroid وiOS وWindows.
2024: يعلن FIDO Alliance أن أكثر من 15 مليار حساب مستخدم حول العالم يمكنه استخدام مصادقة FIDO2.
على الرغم من أن FIDO 1.0 وFIDO2 يدعمان المصادقة دون كلمات مرور، فإن FIDO2 يوسِّع نطاق ومعايير FIDO بشكل كبير من خلال مصادقة قوية بالكامل دون كلمات مرور عبر الأجهزة المحمولة أو أجهزة سطح المكتب أو مفاتيح الأمان.
يوفر FIDO2 تجربة تسجيل دخول أكثر سهولة للمستخدمين من خلال إلغاء الحاجة إلى إدخال كلمات المرور كعامل أول في المصادقة متعددة العوامل (MFA). كما يوفر واجهة برمجة تطبيقات موحَّدة قائمة على الويب لتسهيل الاعتماد.
لفهم الفارق بوضوح بين FIDO 1.0 وFIDO2، من المفيد النظر إلى البروتوكولات المحددة التي تقف وراء كل إصدار من المعيار.
كان بروتوكول FIDO UAF من أوائل البروتوكولات التي طوَّرها تحالف FIDO. وهو يُتيح إمكانية تسجيل الدخول إلى الخدمة دون استخدام كلمة مرور. بدلًا من استخدام كلمة مرور، يمكن للمستخدم المصادقة مباشرةً من جهازه باستخدام بيانات بيومترية مثل التعرُّف على الصوت أو الوجه، أو باستخدام رمز PIN.
ومع ذلك، فإن غياب التوحيد القياسي في UAF جعل من الصعب دمجه وتنفيذه عبر مختلَف متصفحات الويب والتطبيقات والخوادم. وشكَّلت هذه القابلية المحدودة للتشغيل البيني عائقًا أمام انتشارها على نطاق واسع.
تم تطوير FIDO U2F لتوفير المصادقة ثنائية العوامل (2FA) للأنظمة التي تعتمد على أسماء المستخدمين وكلمات المرور. تتطلب المصادقة الثنائية (2FA) عاملًا ثانيًا ليتمكن المستخدمون من تأكيد هوياتهم. يستخدم U2F مفتاح أمان فعليًا كعامل ثانٍ لإجراء التفويض. بعد إصدار FIDO2، تمت إعادة تسمية U2F إلى "CTAP1".
كان اعتماد U2F على مفاتيح أمان مادية، بدلًا من مجموعة أوسع من الأجهزة مثل الهواتف الذكية وأجهزة الكمبيوتر المحمول، من العوامل التي حدَّت من انتشاره.
يوسِّع WebAuthn قدرات UAF من خلال توفير واجهة برمجة تطبيقات عبر الويب تُتيح للمؤسسات الاعتمادية استخدام المصادقة دون كلمات مرور بسهولة. يُستخدَم مصطلح "الجهات المعتمدة" للإشارة إلى المواقع والتطبيقات التي تستخدم مصادقة FIDO.
يوفر WebAuthn أيضًا معايير FIDO التي تحدِّد كيفية سير التفاعل بين تطبيق الويب، ومتصفح الويب، وأداة المصادقة مثل البيانات البيومترية أو مفتاح الأمان.
يحدِّد CTAP2 كيفية تواصل عميل FIDO مثل متصفح الويب أو نظام التشغيل مع جهاز المصادقة. وجهاز المصادقة هو العنصر الذي يتحقق من هوية المستخدم. في U2F (أو CTAP1)، كان جهاز المصادقة دائمًا مفتاح أمان. يضيف CTAP2 وسائل مصادقة إضافية توجد على جهاز المستخدم، مثل التعرُّف البيومتري على الصوت والوجه، أو بصمات الأصابع، أو رمز PIN.