Question

Što je FIDO provjera autentičnosti korisnika bez provjere lozinke?

Answer 1

FIDO (Fast IDentity Online) provjera autentičnosti podrazumijeva brz i siguran način provjere autentičnosti korisnika.

FIDO protokoli koriste tehnike kriptografije s javnim ključem (public key). Tijekom registracije na neku web-stranicu, korisnikov uređaj generira novi par ključeva (privatni i javni). Ključevi (passkeys) su digitalne vjerodajnice (credentials) koje omogućuju korisnicima provjeru autentičnosti bez potrebe za unosom korisničkog imena, lozinke ili nečeg sličnog. Ključevi (passkeys) se oslanjaju na otključavanje uređaja radi provjere identiteta korisnika. Nakon registriranja, autentifikator (korisnikov uređaj) generira "potpis" koristeći privatni ključ. Privatni ključ (private passkey) se nigdje ne dijeli, a javni ključ (public passkey) se koristi u registraciji. Privatni ključevi mogu se koristiti samo nakon što ih korisnik otključa na svom uređaju povlačenjem prsta, unosom PIN-a, govorom u mikrofon ili pritiskanjem gumba.

Korištenjem ovakvih protokola FIDO štiti privatnost korisnika. Korisnik se može registrirati koristeći jedan izvor, a to može biti fizičko mjesto ili aplikacija. Nakon toga se generira par ključeva (privatni i javni) na korisnikovom uređaju. Korisnikov javni ključ bude pohranjen od strane izvornog poslužitelja. No javni ključ ne daje nikakve informacije koje bi mogle biti korištene kako bi nanijele štetu korisniku, a podacima o privatnom ključu se nikako ne može pristupiti. 

Ovakva vrsta tehnologije teži zamjeni lozinke (password) kao primarnog načina provjere autentičnosti. Provjera autentičnosti temeljena na lozinkama nije najsigurnija opcija za provjeru autentičnosti jer se lozinke mogu ukrasti. Korisnici se često prijavljuju na različite web-stranice koristeći iste lozinke, što znači da, kada je jedno web-mjesto provaljeno, svaki drugi račun koji koristi istu lozinku je u opasnosti. 

FIDO zaporke (passkeys) mogu se koristiti na mnogim popularnim platformama, poput: Android,Chrome, Microsoft Windows, Microsoft Edge, MacOS, iOS i Safari. Uz to su i end-to-end kriptirane, što znači da Google ne može pročitati passkey ili na bilo koji način znati te podatke.