Bosh sahifa Wiki FIDO2

FIDO2

FIDO2 — passwordga qaramlikni kamaytirish va phishingga chidamli public-key authenticationni ta’minlash uchun yaratilgan standardlar to‘plami. U web applicationlar uchun WebAuthn va authenticator bilan client o‘rtasidagi CTAP protokollarini birlashtiradi.

FIDO2 orqali platform authenticator, telefon yoki hardware security key website va applicationlarda kuchli authentication uchun ishlatiladi.

Asosiy komponentlar

FIDO2 ekotizimining asosiy qismlari:

  • WebAuthnbrowser va relying party orasidagi web API hamda data model;
  • CTAPclient platforma va external authenticator orasidagi protocol;
  • Authenticator — private keyni yaratadigan va ishlatadigan qurilma yoki secure component.

Bu qismlar birgalikda end-to-end registration va loginni yaratadi.

Public-key model

Har relying party uchun authenticator alohida key pair yaratadi.

Server public keyni saqlaydi.

Private key authenticator ichida qoladi.

Server database’i buzilsa reusable password yoki private key olinmaydi.

Per-site credential

Credential ma’lum RP ID bilan bog‘langan.

Bir sayt uchun yaratilgan key boshqa saytga ishlamaydi.

Shu sababli credential database’larini bir-biriga solishtirib userni kuzatish va phishing domainida keydan foydalanish cheklanadi.

WebAuthn roli

WebAuthn browser orqali:

  • credential yaratish;
  • assertion olish;
  • origin tekshirish;
  • challenge uzatish;
  • resultni website’ga berish

jarayonini standartlashtiradi.

Website CTAP bilan bevosita gaplashishi shart emas; browser va platforma bu qismni boshqaradi.

CTAP

Client to Authenticator Protocol external authenticator va client platforma orasidagi aloqani belgilaydi.

Transport:

bo‘lishi mumkin.

CTAP authenticator operation, PIN yoki user verification va credential management funksiyalarini qo‘llashi mumkin.

Platform authenticator

Qurilmaning o‘zida integratsiyalangan authenticator.

Masalan, laptop yoki telefondagi secure hardware va biometric unlock.

Afzalligi — qo‘shimcha qurilma talab qilmaydi.

Credential sync yoki device-bound bo‘lishi platforma va credential providerga bog‘liq.

Roaming authenticator

Alohida hardware security key bir nechta qurilmada ishlatiladi.

U USB, NFC yoki boshqa transport orqali ulanadi.

Yuqori privilege accountlar uchun device-bound va fizik nazorat qilinadigan credential sifatida ishlatilishi mumkin.

User Presence

Authenticator operationni user real tasdiqlaganini tekshiradi.

Security keyga tegish yoki qurilma dialogini tasdiqlash misol.

Bu malware’ning user bilmasdan uzoqdan signature olishini cheklashga yordam beradi.

User Verification

PIN, biometrika yoki qurilma unlock orqali aynan authorized user tekshiriladi.

Relying party operationga qarab verificationni preferred yoki required qilishi mumkin.

Authenticator va client policy’ni bajaradi.

Passwordless

Discoverable credential user accountini authenticator ichidan topishga imkon beradi.

User username va password kiritmasdan credential tanlaydi.

Bu passkey tajribasining asoslaridan biri.

Second factor

FIDO2 faqat passwordless emas, parolga qo‘shimcha phishingga chidamli factor sifatida ham ishlatilishi mumkin.

Masalan:

password
+ hardware security key

Bu OTPga nisbatan origin-bound cryptographic proof beradi.

Phishingga chidamlilik

Authenticator signature’ni relying party va client data contextiga bog‘laydi.

Soxta domain haqiqiy RP uchun assertion ololmaydi.

User credentialni attacker saytiga “berib yubormaydi”, chunki private key export qilinmaydi.

Attestation

Authenticator registration vaqtida qurilma modeli va ishlab chiqaruvchi trustiga oid attestation berishi mumkin.

Enterprise policy faqat tasdiqlangan authenticatorlarga ruxsat berishi ehtimoli bor.

Consumer xizmatlar privacy sabab attestationni talab qilmasligi mumkin.

Credential management

Authenticator bir nechta credential saqlashi mumkin.

Management:

  • credential ro‘yxati;
  • delete;
  • PIN update;
  • reset;
  • resident credential capacity

kabi operationlarni o‘z ichiga olishi mumkin.

Reset barcha device-bound credentiallarni yo‘qotishi ehtimoli bor.

Account recovery

FIDO2 deployment backup va recovery’ni rejalashtiradi.

Variantlar:

  • ikkinchi hardware key;
  • synced passkey;
  • boshqa trusted device;
  • recovery code;
  • verified help desk.

Recovery oddiy phishingga zaif bo‘lsa FIDO2ning umumiy himoyasi pasayadi.

Enterprise deployment

Administrator:

  • approved authenticator;
  • attestation;
  • PIN policy;
  • lost key;
  • replacement;
  • privileged role;
  • inventory;
  • revocation

jarayonlarini boshqaradi.

Userga kamida bitta backup authentication usuli berilishi mumkin.

FIDO2 va U2F

Oldingi U2F modeli asosan second factor uchun ishlatilgan.

FIDO2 kengroq WebAuthn va CTAP imkoniyatlari orqali passwordless, discoverable credential va platform authenticatorlarni qo‘llab-quvvatlaydi.

Legacy credential compatibility implementationga bog‘liq.

PIN retry

Hardware authenticator PINni cheklangan marta noto‘g‘ri kiritishga ruxsat beradi. Ko‘p xatodan keyin lock yoki reset talab qilinishi mumkin. Reset qurilmadagi credentiallarni o‘chirishi ehtimoli bor, shu sababli backup key muhim.

Enterprise attestation

Tashkilot o‘ziga tegishli hardware keylarni inventar bilan bog‘lash uchun enterprise attestationdan foydalanishi mumkin. Bu kuchli device governance beradi, ammo user privacy va vendor support masalalarini hisobga oladi.

Transport

Authenticator qaysi transportlarni qo‘llashi registration metadata’sida saqlanishi mumkin. Login UI userga USB, NFC yoki internal variantni ko‘rsatadi. Transport hint security proof emas; haqiqiy assertion cryptographic tekshiriladi.

Lifecycle

Security key xodimga beriladi, inventarga yoziladi, PIN o‘rnatiladi, backup usul qo‘shiladi va xodim ketganda revoke qilinadi. Qurilmani boshqa userga topshirishdan oldin reset va qayta provisioning bajariladi.

Metadata

Authenticator modeli, certification yoki status haqida metadata service ishlatilishi mumkin. Relying party compromised yoki revoked authenticatorga policy qo‘llashi ehtimoli bor. Metadata yangilanishi, signature va offline holat boshqariladi; model nomining o‘zi xavfsizlik kafolati emas.

Bog‘liq tushunchalar

FIDO2, WebAuthn, CTAP, Passkey, Authenticator, Hardware security key, Public-key authentication, User Verification, Passwordless authentication, Phishing resistance