Co to jest uwierzytelnianie FIDO i jak działa?

FIDO to jeden z najważniejszych standardów uwierzytelniania stojących za nowoczesnymi, odpornymi na phishing metodami logowania, w tym kluczami bezpieczeństwa i passkeyami. Jeśli zgłębiasz temat FIDO, uwierzytelniania FIDO, WebAuthn lub FIDO2, kluczowe jest zrozumienie, czym jest standard FIDO, jakie problemy rozwiązuje oraz czym różni się od produktów i urządzeń, które go implementują.

FIDO w skrócie

• Czym jest FIDO: FIDO to zestaw otwartych standardów uwierzytelniania, które wykorzystują kryptografię klucza publicznego, aby ograniczyć zależność od haseł.
• Czym jest FIDO2: FIDO2 to nowoczesny stos technologiczny zbudowany wokół protokołów WebAuthn i CTAP, który umożliwia logowanie bezhasłowe oraz odporne na phishing uwierzytelnianie wieloskładnikowe.
• Dlaczego FIDO jest odporne na phishing: protokół WebAuthn wiąże uwierzytelnianie z kontekstem prawidłowej witryny, więc atakujący nie może odtworzyć przechwyconego kodu ani hasła na fałszywej domenie.

Najważniejsze wnioski

• FIDO to zestaw standardów, a nie produkt. Klucze bezpieczeństwa i passkeye są implementacjami tych standardów.
• FIDO2 nie jest „fizycznym kluczem”. Fizyczny klucz bezpieczeństwa FIDO2 to jedna z opcji uwierzytelniania, ale istnieją też uwierzytelniacze platformowe, takie jak funkcja Windows Hello.
• „Weryfikacja użytkownika” może polegać na PIN-ie lub biometrii. Biometryczne klucze bezpieczeństwa są przydatne, gdy chcesz weryfikacji na kluczu bez konieczności wpisywania.
• Poziom bezpieczeństwa zależy od polityki bezpieczeństwa: bezpiecznego procesu rejestracji, uwierzytelniaczy zapasowych, kontrolowanego odzyskiwania dostępu i ograniczonych mechanizmów awaryjnych.
• Zgodność zależy od urządzenia końcowego, przeglądarki i typu konektora (USB, NFC, Bluetooth), a nie tylko od modelu klucza.

Co to jest FIDO?

FIDO to rodzina otwartych standardów uwierzytelniania, która zastępuje logowanie zależne od haseł logowaniem kryptograficznym. Zamiast opierać się na współdzielonych sekretach, takich jak hasła czy pytania bezpieczeństwa, uwierzytelnianie FIDO wykorzystuje kryptografię klucza publicznego (PKC) oraz zatwierdzane przez użytkownika logowanie na zaufanym uwierzytelniaczu. Standardy są rozwijane i promowane przez stowarzyszenie FIDO Alliance, której misją jest ograniczenie zależności świata od haseł poprzez rozwój standardów uwierzytelniania i atestacji urządzeń.

W realnych wdrożeniach użytkownik uwierzytelnia się za pomocą urządzenia FIDO, np. uwierzytelniacza wbudowanego w telefon lub komputer (TPM, Secure Enclave, Android Keystore/StrongBox, itp.), albo zewnętrznego klucza bezpieczeństwa FIDO. Zamiast hasła, które można wyłudzić phishingiem lub ponownie wykorzystać, usługa weryfikuje podpisane kryptograficznie wyzwanie. Przykład tego, jak metody FIDO są realizowane w praktyce, znajdziesz w artykule metoda uwierzytelniania FIDO w Rublon MFA.

Co oznacza skrót FIDO?

FIDO to skrót od Fast IDentity Online. „FIDO” jest używane jako pojęcie parasolowe dla wielu standardów, w tym starszych specyfikacji, takich jak U2F i UAF, oraz nowoczesnej generacji FIDO2, która stanowi fundament passkeyów i wielu współczesnych metod logowania z użyciem kluczy bezpieczeństwa. Dobrym punktem startowym w krajobrazie standardów są specyfikacje FIDO Alliance.

Do czego służy FIDO?

FIDO służy do zabezpieczania logowań oraz uwierzytelniania podwyższonego poziomu (ang. step-up authentication) zarówno w scenariuszach bezpieczeństwa tożsamości pracowników, jak i klientów, szczególnie gdy zależy Ci na silnej ochronie przed phishingiem i kradzieżą poświadczeń.

Typowe scenariusze obejmują:

• Logowanie bezhasłowe z użyciem poświadczeń powiązanych z urządzeniem, które we współczesnych implementacjach często nazywa się passkeyami.
• Odporne na phishing MFA, w którym silny składnik FIDO zastępuje słabsze metody uwierzytelniania drugiego składnika, takie jak Kod SMS czy Kod dostępu TOTP.
• Ochrona MFA dla dostępu uprzywilejowanego dla administratorów i wrażliwych systemów z użyciem uwierzytelniaczy FIDO2 o wysokim poziomie zaufania.
• Nowoczesne logowanie platformowe na różnych platformach i u dostawców tożsamości wspierających FIDO2 i passkeye, w tym zgodnie z wytycznymi Microsoft dotyczącymi passkeyów i FIDO2 w Entra ID.

Definicja FIDO prostym językiem

Praktyczna definicja FIDO brzmi: FIDO to oparte na standardach podejście do uwierzytelniania użytkowników z wykorzystaniem kryptografii klucza publicznego, w którym klucz prywatny pozostaje na uwierzytelniaczu użytkownika, a usługa weryfikuje podpisaną odpowiedź przy użyciu klucza publicznego.

W praktyce wygląda to tak:

• Usługa przechowuje klucz publiczny dla Twojego konta.
• Twój uwierzytelniacz przechowuje klucz prywatny.
• Podczas logowania Twój uwierzytelniacz podpisuje wyzwanie.
• Usługa weryfikuje podpis przy użyciu zapisanego klucza publicznego.

Takie podejście ogranicza ryzyko ponownego użycia haseł oraz ataku typu credential stuffing, ponieważ nie istnieje sekret równoważny hasłu, który można odtworzyć w różnych serwisach lub ujawnić w wyniku wycieku bazy haseł.

Co to jest uwierzytelnianie FIDO?

Uwierzytelnianie FIDO to uwierzytelnianie realizowane z użyciem standardów FIDO oraz uwierzytelniacza FIDO, oparte na kryptografii klucza publicznego i weryfikacji po stronie relying party.

Jest wdrażane w jednym z dwóch wzorców:

• Uwierzytelnianie bezhasłowe (passwordless): poświadczenie FIDO jest podstawową metodą logowania, często z weryfikacją użytkownika, np. kodem PIN lub kontrolą biometryczną.
• MFA odporne na phishing: metoda FIDO jest wymagana jako drugi krok, najczęściej z użyciem klucza bezpieczeństwa FIDO2 lub uwierzytelniacza platformowego.

Rola stowarzyszenia FIDO Alliance

Stowarzyszenie FIDO Alliance publikuje i utrzymuje specyfikacje, które umożliwiają interoperacyjne uwierzytelnianie, w tym U2F, UAF, CTAP oraz nowoczesny ekosystem FIDO2. W praktyce oznacza to:

• Interoperacyjność jest wbudowana w ekosystem i nie zależy od jednego dostawcy.
• Właściwości bezpieczeństwa można oceniać na podstawie publicznych specyfikacji.
• Organizacje mogą ograniczyć ryzyko uzależnienia od jednego dostawcy, wybierając uwierzytelniacze i platformy tożsamości zgodne z otwartymi standardami.

Jak działa FIDO?

FIDO działa poprzez zastąpienie współdzielonych sekretów, takich jak hasła lub OTP, asymetryczną kryptografią klucza publicznego, w której klucz prywatny nigdy nie opuszcza urządzenia użytkownika.

Podczas konfiguracji Twój uwierzytelniacz FIDO tworzy unikalną parę kluczy dla konkretnej witryny lub aplikacji. Klucz prywatny pozostaje na uwierzytelniaczu, natomiast klucz publiczny jest przechowywany przez usługę. Gdy się logujesz, usługa wysyła wyzwanie, a Twój uwierzytelniacz udowadnia, że posiada klucz prywatny, podpisując to wyzwanie.

To jeden z powodów, dla których uwierzytelnianie FIDO jest często opisywane jako odporne na phishing, gdy jest poprawnie wdrożone. Dowód (podpis kryptograficzny) jest powiązany z prawidłowym pochodzeniem (origin) witryny w WebAuthn, co powoduje, że nawet jeśli użytkownik spróbuje zalogować się na stronie‑podróbce, uwierzytelnienie nie przejdzie, bo podpis nie pasuje do fałszywej domeny.

Tło standardów znajdziesz w specyfikacjach FIDO Alliance oraz w opracowaniu W3C dotyczącym Web Authentication.

Wyjaśnienie w 30 sekund

Najprościej można to ująć tak:

• Rejestrujesz poświadczenie FIDO jednorazowo.
• Twoje konto przechowuje tylko klucz publiczny, a nie sekret nadający się do ponownego użycia.
• Każde logowanie wykorzystuje świeże kryptograficzne wyzwanie.
• Twój uwierzytelniacz FIDO podpisuje wyzwanie po tym, jak je zatwierdzisz dotknięciem, PIN-em lub kontrolą biometryczną.

Z uwagi na to, że nie ma współdzielonego sekretu, który można ukraść i odtworzyć, FIDO zmniejsza ryzyko wynikające z ponownego używania haseł, ataków credential stuffing oraz wielu przepływów ataków phishingowych.

Krok po kroku: rejestracja FIDO

Rejestracja FIDO bywa też nazywana „FIDO enrollment”. To moment, w którym konto zostaje powiązane z uwierzytelniaczem, takim jak klucz bezpieczeństwa FIDO, uwierzytelniacz platformowy w telefonie lub uwierzytelniacz w komputerze.

Przepływ rejestracji FIDO (WebAuthn):

1. Rozpocznij rejestrację: Użytkownik rozpoczyna proces rejestracji poświadczenia FIDO.
2. Poproś o opcje rejestracji: Przeglądarka lub system prosi usługę o parametry rejestracji.
3. Wyzwanie + RP ID + dane użytkownika + pubKeyCredParams: Usługa zwraca wyzwanie, RP ID, dane użytkownika oraz pubKeyCredParams, które określają parametry tworzenia poświadczenia.
4. Utwórz clientDataJSON (wyzwanie + origin + type=webauthn.create): Przeglądarka lub system tworzy clientDataJSON, które zawiera wyzwanie, origin oraz typ operacji webauthn.create.
5. Utwórz poświadczenie (RP + user + clientDataHash + opcje): Przeglądarka lub system zleca uwierzytelniaczowi utworzenie poświadczenia z użyciem danych RP i użytkownika, clientDataHash oraz opcji.
6. Wymagaj potwierdzenia użytkownika: Uwierzytelniacz wymaga obecności użytkownika lub weryfikacji użytkownika przed kontynuacją.
7. Dotknij klucza, podaj PIN albo biometrię: Użytkownik potwierdza operację dotykiem klucza albo podając PIN lub biometrię.
8. Obiekt atestacji (authenticatorData + publicKey + credentialId + attestation): Uwierzytelniacz zwraca obiekt atestacji zawierający authenticatorData, publicKey, credentialId oraz attestation.
9. clientDataJSON + attestationObject + credentialId: Przeglądarka lub system przesyła do usługi clientDataJSON, attestationObject oraz credentialId.
10. Zweryfikuj wyzwanie, origin, RP ID, attestation (opcjonalnie), flagi: Usługa weryfikuje wyzwanie, powiązanie z origin, sprawdza RP ID, ocenia flagi oraz opcjonalnie weryfikuje attestation.
11. Zapisz publicKey + credentialId dla konta: Usługa zapisuje publicKey i credentialId dla danego konta użytkownika.
12. Rejestracja zakończona: Usługa kończy proces rejestracji i poświadczenie jest gotowe do użycia przy logowaniu.

Krok po kroku: logowanie FIDO

Logowanie to etap potwierdzania tożsamości. W terminologii WebAuthn nazywa się go również „authentication ceremony”.

Przepływ logowania FIDO (WebAuthn):

1. Wyzwanie + RP ID: Usługa przesyła do przeglądarki lub systemu wyzwanie oraz RP ID.
2. Utworzenie clientDataJSON (wyzwanie + origin + typ): Przeglądarka lub system tworzy clientDataJSON, które zawiera wyzwanie, origin oraz typ operacji.
3. Żądanie asercji (RP ID + clientDataHash): Przeglądarka lub system żąda asercji od uwierzytelniacza, przekazując RP ID oraz clientDataHash.
4. Wymagaj potwierdzenia użytkownika: Uwierzytelniacz wymaga obecności użytkownika lub weryfikacji użytkownika przed kontynuacją.
5. Dotknij klucza, podaj PIN albo biometrię: Użytkownik potwierdza operację dotykiem klucza albo podając PIN lub biometrię.
6. authenticatorData + signature + signCount: Uwierzytelniacz zwraca do przeglądarki lub systemu authenticatorData oraz signature i signCount.
7. authenticatorData + clientDataJSON + signature + credentialId + signCount: Przeglądarka lub system przesyła do usługi odpowiedź zawierającą authenticatorData, clientDataJSON, signature, credentialId oraz signCount.
8. Zweryfikuj wyzwanie, origin, RP ID, flags, signature, counter: Usługa weryfikuje wyzwanie, powiązanie z origin, sprawdza RP ID, ocenia flags, weryfikuje signature oraz analizuje counter.
9. Przyznaj lub odmów dostępu: Usługa przyznaje lub odmawia dostępu na podstawie wyniku weryfikacji.

Logowanie FIDO w realnym scenariuszu MFA

Co sprawia, że FIDO jest odporne na phishing?

Odporność FIDO na phishing to nie tylko „silna kryptografia”. Kluczowe jest to, że standard WebAuthn zaprojektowano tak, aby wiązać poświadczenia z prawidłowym originem witryny. Dzięki temu fałszywej stronie trudno jest skutecznie ponownie wykorzystać przebieg uwierzytelniania.

W praktyce oznacza to, że:

• Nie da się nabrać użytkownika, aby uwierzytelnił się na fałszywej łudząco podobnej domenie, a następnie odtworzyć (replay) tej odpowiedzi na prawdziwej domenie.
• Podpisana odpowiedź opiera się na wyzwaniu pochodzącym z prawdziwej usługi.
• Poświadczenie ma zakres ograniczony do witryny, która je zarejestrowała.

Co się dzieje, gdy używasz klucza FIDO NFC lub karty FIDO NFC?

NFC zmienia jedynie sposób, w jaki uwierzytelniacz łączy się z urządzeniem, a nie sam model bezpieczeństwa.

• Klucz FIDO NFC to klucz bezpieczeństwa FIDO, który obsługuje standard Near Field Communication (NFC) i umożliwia bezstykowe uwierzytelnianie bez użycia złącza USB.
• Karta FIDO NFC to uwierzytelniacz FIDO w formie karty, używany do uwierzytelniania przez zbliżenie w środowiskach pracowniczych.

W obu przypadkach przepływ kryptograficzny pozostaje taki sam: klucz prywatny pozostaje na uwierzytelniaczu, klucz publiczny pozostaje po stronie usługi, a każde logowanie podpisuje nowe wyzwanie.

Gdzie zachodzi weryfikacja w logowaniu FIDO

W logowaniu FIDO opartym na standardzie WebAuthn uwierzytelniacz nie uwierzytelnia się bezpośrednio z usługą przez sieć. W przebiegu uwierzytelniania pośredniczy przeglądarka lub system operacyjny i następnie zwraca podpisany wynik do relying party.

• Relying Party (usługa): wysyła wyzwanie, a następnie weryfikuje podpisane potwierdzenie (assertion) przy użyciu zapisanego klucza publicznego oraz kontroli polityk.
• Przeglądarka lub system operacyjny (klient WebAuthn): pakuje żądanie i zwraca odpowiedź w formacie WebAuthn.
• Uwierzytelniacz: realizuje potwierdzenie obecności użytkownika lub weryfikację użytkownika, a następnie podpisuje i zwraca dane uwierzytelniacza oraz podpis.

Gdy używany jest zewnętrzny klucz bezpieczeństwa, protokół CTAP definiuje sposób, w jaki przeglądarka lub system operacyjny wymienia z kluczem żądania i odpowiedzi. Standard WebAuthn definiuje interfejs między relying party a przeglądarką lub systemem operacyjnym.

Wyjaśnienie poziomów FIDO Certified Authenticator Levels (L1, L2, L3)

FIDO jest najbardziej znane z logowania bezhasłowego i uwierzytelniania odpornego na phishing, ale istnieje jeszcze jedna warstwa, którą wielu kupujących pomija: FIDO Certified Authenticator Levels. Poziomy te są częścią programu certyfikacji FIDO Alliance i mają komunikować nie tylko to, czy uwierzytelniacz „obsługuje FIDO2”, ale również jak solidnie został zaprojektowany pod kątem odporności na ataki.

Czym jest certyfikacja FIDO2?

Certyfikacja FIDO2 oznacza, że uwierzytelniacz został przetestowany pod kątem zgodności (conformance) i interoperacyjności ze specyfikacjami FIDO2 (czyli działa niezawodnie na różnych platformach i w różnych usługach). Dodatkowo program certyfikacji FIDO może obejmować wymagania bezpieczeństwa dla uwierzytelniaczy (Authenticator Security Requirements). I właśnie tu pojawiają się poziomy uwierzytelniacza (L1, L2, L3).

W praktyce:

• „FIDO2-certified” odpowiada na pytanie: Czy poprawnie implementuje specyfikację FIDO2 i współdziała (interoperate)?
• „Authenticator Level” (L1/L2/L3) odpowiada na pytanie: Jak bardzo jest odporny na różne klasy ataków?

Jaka jest różnica między FIDO2 L1 a L2?

FIDO Authenticator Level 1 (L1) ustanawia bazowy zestaw wymagań bezpieczeństwa dla uwierzytelniacza. To minimalny poziom wymagany do udziału w programie certyfikacji uwierzytelniaczy FIDO.

FIDO Authenticator Level 2 (L2) podnosi poprzeczkę: ocenia ochronę przed podstawowymi, skalowalnymi atakami i wymaga, aby uwierzytelniacz był zgodny z określonym, dopuszczonym ograniczonym środowiskiem uruchomieniowym oraz wymaganiami dotyczącymi kryptografii zdefiniowanymi w FIDO Authenticator Security Requirements.

Innymi słowy: L2 bazuje na L1. Uwierzytelniacz FIDO musi spełnić co najmniej L1, aby otrzymać certyfikację, a L2 obejmuje wszystkie wymagania L1 oraz dodatkowe zabezpieczenia przed podstawowymi atakami.

Jaka jest różnica między FIDO2 L2 a L3?

Poziom 3 (L3) to najwyższy poziom certyfikacji FIDO Authenticator w powszechnym ujęciu L1/L2/L3. Bazuje na poziomie 2, oceniając ochronę uwierzytelniacza przed bardziej zaawansowanymi atakującymi, w tym wzmocnionymi atakami programowymi i sprzętowymi o charakterze enhanced-basic effort.

Podczas gdy L2 koncentruje się na odporności na podstawowe, skalowalne ataki, L3 podnosi poprzeczkę, aby objąć również silniejsze sposoby ataku, w tym próby ukierunkowane na sprzęt. L3 nadal wymaga, aby uwierzytelniacz był zgodny z rozwiązaniami z list Allowed Restricted Operating Environment i Allowed Cryptography FIDO (część ram Authenticator Security Requirements).

W skrócie: L2 zapewnia odporność na typowe, skalowalne ataki, a L3 dodatkowo chroni przed bardziej zaawansowanymi atakami programowymi i sprzętowymi.

Dlaczego poziomy uwierzytelniaczy FIDO nie są tym samym co NIST AAL

Łatwo jest potraktować FIDO L1/L2/L3 jak NIST AAL1/AAL2/AAL3, ale to różne ramy używane do innych celów. Podczas gdy NIST AAL (SP 800-63B) opisują poziom zapewnienia procesu uwierzytelniania w danym wdrożeniu i definiują wymagania dla AAL1–AAL3, poziomy uwierzytelniaczy FIDO opisują charakterystykę bezpieczeństwa samego uwierzytelniacza w ramach programu certyfikacji FIDO.

Zatem uwierzytelniacz z certyfikacją FIDO może być używany w systemach projektowanych pod określone cele NIST AAL, ale poziomy FIDO nie mapują się 1:1 na NIST AAL.

Czy YubiKey ma certyfikację FIDO2?

Tak, YubiKeye są certyfikowane przez FIDO, ale certyfikacja zależy od modelu. Starsze modele (np. YubiKey 4) są certyfikowane jako FIDO U2F, natomiast nowsze modele (np. YubiKey 5 i Security Key Series) są certyfikowane jako FIDO2.

Jak FIDO zapobiega typowym rodzajom cyberataków?

Dlaczego atakujący nie może podmienić ani zmodyfikować asercji FIDO?

Asercji FIDO nie da się zastąpić, zmodyfikować ani podrobić, ponieważ jest ona kryptograficznie powiązana z wyzwaniem, originem oraz poświadczeniem przechowywanym na uwierzytelniaczu. Gdy użytkownik się uwierzytelnia, uwierzytelniacz podpisuje uporządkowany pakiet danych, który obejmuje wyzwanie serwera, identyfikator relying party oraz dane uwierzytelniacza. Każda próba zmiany tych pól, np. modyfikacja szczegółów transakcji lub wstrzyknięcie fałszywej odpowiedzi „zezwól na dostęp”, unieważnia podpis cyfrowy. Serwer natychmiast odrzuca potwierdzenie, ponieważ podpis nie odpowiada już oczekiwanemu kluczowi publicznemu.

Ta ochrona integralności to jeden z głównych powodów, dla których FIDO2 i WebAuthn uznaje się za odporne na kradzież poświadczeń i manipulację sesją. Nawet jeśli atakujący przechwyci ruch sieciowy, nie jest w stanie wygenerować poprawnego potwierdzenia zastępczego, ponieważ nie posiada klucza prywatnego przechowywanego wewnątrz uwierzytelniacza. Nie może też odtworzyć (replay) starego potwierdzenia, bo wyzwanie jest unikalne dla każdej sesji i wygasa po użyciu. Takie połączenie podpisywania challenge–response, kluczy wspieranych sprzętowo oraz wiązania z originem sprawia, że uwierzytelnianie FIDO pozostaje odporne na manipulację, odtwarzanie i ataki MITM nawet w niezaufanych środowiskach sieciowych.

Jak FIDO zapobiega phishingowi poświadczeń?

Uwierzytelnianie FIDO jest z natury odporne na phishing poświadczeń, ponieważ uwierzytelniacz podpisuje wyzwanie wyłącznie dla prawidłowego originu witryny. W przeciwieństwie do haseł czy kodów SMS nie istnieje współdzielony sekret, który można ukraść lub odtworzyć. Strona phishingowa nie jest w stanie nakłonić uwierzytelniacza do wygenerowania ważnej odpowiedzi, ponieważ przeglądarka wymusza ścisłe wiązanie z originem. Nawet jeśli atakujący perfekcyjnie skopiuje interfejs bankowości, uwierzytelniacz odmówi podpisania żądania dla niewłaściwej domeny. Ten model powiązany z originem eliminuje najczęstszą ścieżkę ataku wykorzystywaną przy przejmowaniu kont i sprawia, że FIDO, razem z PIV i CAC, jest jedną z najsilniejszych dostępnych obecnie metod uwierzytelniania odpornych na phishing.

Jak FIDO blokuje ataki typu replay

Ataki typu replay polegają na przechwyceniu komunikatu uwierzytelniającego i użyciu go ponownie później. FIDO temu zapobiega, stosując jednorazowe wyzwanie generowane po stronie serwera dla każdej próby logowania. Uwierzytelniacz podpisuje właśnie to konkretne wyzwanie, a serwer odrzuca każdą odpowiedź, która nie pasuje do oczekiwanej wartości. Nawet jeśli atakujący przechwyci ruch sieciowy, podpisanego potwierdzenia nie da się ponownie wykorzystać, ponieważ wyzwanie wygasa natychmiast po weryfikacji. Taki proces challenge–response zapewnia, że uwierzytelniania nie można odtworzyć (replay), zduplikować ani przekazać dalej nawet w niezabezpieczonych sieciach.

Jak FIDO chroni przed credential stuffing?

Ataki credential stuffing wykorzystują użycie takiego samego hasła w wielu usługach. FIDO eliminuje całą tę klasę ataków, ponieważ każde poświadczenie to unikalna para kluczy publiczny–prywatny powiązana z konkretną witryną. Nie ma hasła do ponownego użycia, nie ma współdzielonego sekretu do wycieku i nie ma bazy poświadczeń, którą atakujący mogliby masowo pozyskać. Nawet jeśli dojdzie do naruszenia innej usługi, atakujący nie zyskuje niczego, co mógłby wykorzystać do dostępu do konta chronionego FIDO. Ten model, w którym klucz jest unikalny dla witryny, radykalnie zmniejsza ryzyko masowego przejęcia kont.

Jak FIDO zmniejsza ryzyko SIM-swap i przechwytywania SMS?

Tradycyjne metody MFA oparte na kodach SMS są podatne na oszustwa SIM-swap, przechwytywanie w SS7 oraz socjotechnikę. FIDO całkowicie omija te słabości, ponieważ nie polega na operatorach komórkowych ani na kodach out-of-band. Klucz prywatny jest bezpiecznie przechowywany na uwierzytelniaczu i nie może zostać przeniesiony na inne urządzenie. Nawet jeśli atakujący przejmie numer telefonu ofiary, nie jest w stanie wygenerować ważnego podpisu FIDO. To czyni FIDO silną ochroną przed przejęciami kont opartymi na telekomunikacji.

Jak FIDO ogranicza skutki naruszeń po stronie serwera?

Naruszenia serwerów często ujawniają hashe haseł, ziarna TOTP oraz kody odzyskiwania. FIDO minimalizuje skutki kompromitacji po stronie serwera, ponieważ serwer przechowuje wyłącznie klucz publiczny i metadane, a nie sekret, który można wykorzystać do podszycia się pod użytkownika. Nawet jeśli atakujący uzyska pełen dostęp do bazy danych uwierzytelniania, nie jest w stanie wyprowadzić na tej podstawie klucza prywatnego ani wygenerować ważnych podpisów. To zmniejsza zasięg naruszenia i jest spójne z nowoczesnymi zasadami Zero Trust oraz minimalizacji danych.

Jak FIDO zapobiega atakom MITM?

Uwierzytelnianie FIDO zapewnia silną ochronę przed atakami typu man-in-the-middle (MITM), łącząc wiązanie z originem, klucze prywatne wspierane sprzętowo oraz uwierzytelnianie challenge–response. Taka konstrukcja eliminuje słabości obecne w hasłach, kodach SMS i tradycyjnym uwierzytelnianiu wieloskładnikowym.

Gdy użytkownik loguje się przy użyciu poświadczenia FIDO2 lub WebAuthn, uwierzytelniacz weryfikuje origin witryny i podpisuje świeże wyzwanie kluczem prywatnym, który nigdy nie opuszcza urządzenia. Atakujący MITM nie jest w stanie przechwycić, zmodyfikować ani odtworzyć (replay) tych podpisanych danych bez złamania podpisu cyfrowego, co sprawia, że FIDO jest jednym z najbardziej odpornych na phishing standardów uwierzytelniania dostępnych obecnie.

Odporność FIDO na MITM wynika z kilku warstw działających jednocześnie. Przeglądarka wymusza ścisłe sprawdzanie originu, więc uwierzytelniacz podpisuje żądania wyłącznie dla prawidłowej domeny, a nie dla podobnej domeny phishingowej. Każde żądanie uwierzytelniania zawiera unikalne, jednorazowe wyzwanie, które zapobiega atakom typu replay. Serwer weryfikuje podpis przy użyciu zapisanego klucza publicznego, zapewniając, że odpowiedź mógł wygenerować tylko prawdziwy uwierzytelniacz. Wobec tego, że klucz prywatny jest chroniony sprzętowo i nigdy nie jest przesyłany, atakujący nie mogą sfałszować ani podstawić własnych danych uwierzytelniających. Ten model end-to-end zapewnia wysoki poziom pewności, że użytkownik komunikuje się z prawdziwą usługą, a nie z atakującym „pośrodku”.

Zalety uwierzytelniania FIDO

Uwierzytelnianie FIDO jest popularne z prostego powodu: zwiększa poziom bezpieczeństwa, zmniejszając jednocześnie utrudnienia po stronie użytkowników. Gdy jest wdrożone z użyciem nowoczesnych standardów, takich jak FIDO2 i WebAuthn, zapewnia odporne na phishing logowania, które trudno podrobić i trudno odtworzyć (replay) nawet gdy atakujący dysponują zaawansowanymi scenariuszami socjotechnicznymi. Prace standaryzacyjne stowarzyszenia FIDO Alliance to jeden z głównych powodów, dla których ekosystem jest interoperacyjny w różnych platformach i uwierzytelniaczach.

Silniejsze bezpieczeństwo wobec ataków ze świata rzeczywistego

FIDO podnosi poprzeczkę wobec ataków, które rutynowo przełamują uwierzytelnianie oparte na hasłach:

• Domyślna odporność na phishing: Standard WebAuthn opiera się na poświadczeniach powiązanych z originem, więc fałszywa witryna nie może łatwo pozyskać czegoś, co da się ponownie wykorzystać. Jeśli chcesz praktycznego wyjaśnienia, dlaczego to ma znaczenie w uwierzytelnianiu wieloskładnikowym (MFA), zobacz Czym jest odporne na phishing MFA?.
• Zmniejszone ryzyko credential stuffing: nie ma problemu ponownego użycia hasła, ponieważ poświadczenia FIDO nie są współdzielonymi sekretami.
• Mniejsze konsekwencje naruszeń baz danych: usługi przechowują klucze publiczne, a nie weryfikatory haseł, które można złamać i odtworzyć gdzie indziej.

FIDO jest jedną z kilku metod uwierzytelniania wieloskładnikowego, a jego rola i unikalne zalety stają się jaśniejsze, gdy zestawi się je z innymi metodami MFA i 2FA.

Lepsze doświadczenie użytkownika i wyższa adopcja

Programy bezpieczeństwa zawodzą, gdy użytkownicy nie mogą lub nie chcą z nich korzystać. FIDO pomaga, ponieważ zastępuje uciążliwe ręczne kroki szybką akcją zatwierdzenia:

• Dotknięcie klucza bezpieczeństwa FIDO
• Lokalna weryfikacja PIN-u
• Weryfikacja biometryczna na urządzeniu użytkownika

Szybkie zatwierdzenie przyjmuje się lepiej niż kody OTP, szczególnie w środowiskach, gdzie logowanie jest częste.

Niższe koszty operacyjne dla IT i helpdesku

Hasła są kosztowne. Istotna część zgłoszeń do helpdesku w wielu środowiskach wynika z resetów, blokad oraz tarcia w procesach odzyskiwania kont. FIDO może zmniejszyć to obciążenie poprzez ograniczenie zależności od haseł oraz promowanie czystszych praktyk rejestracji, takich jak wymaganie uwierzytelniaczy zapasowych.

Interoperacyjność i elastyczność ekosystemu

FIDO to otwarte standardy, więc nie uzależniasz się od jednego dostawcy ani zastrzeżonego mechanizmu uwierzytelniania. To ważne z perspektywy architektury na lata:

• Możesz mieszać typy uwierzytelniaczy, w tym uwierzytelniacze platformowe i zewnętrzne klucze.
• Możesz z czasem rozwijać polityki bez przebudowywania uwierzytelniania od zera.
• Możesz ograniczyć ryzyko vendor lock-in, ponieważ uwierzytelnianie opiera się na opublikowanych specyfikacjach.

Jasna ścieżka do odpornego na phishing MFA

Nie każde MFA jest takie samo. Podejścia oparte na kodach OTP pozwalają na wyłudzenie kodów phishingiem i opierają się na współdzielonych sekretach, które można odtworzyć (replay). Logowanie wieloskładnikowe oparte na FIDO może być w porównaniu skokiem jakościowym, ale tylko wtedy, gdy zostanie poprawnie wdrożone i jest konsekwentnie egzekwowane.

• Najlepsze dopasowanie do odporności na phishing: uwierzytelnianie kluczem bezpieczeństwa FIDO2 oraz prawidłowo skonfigurowane logowania WebAuthn.
• Dobra „kładka” przejściowa: silniejsze składniki uwierzytelniania oparte na aplikacji mobilnej, podczas gdy migrujesz kluczowych użytkowników do FIDO.
• Największe ryzyko: SMS 2FA jako podstawowa ochrona w środowiskach o wysokiej wartości.

Jak korzystać z FIDO?

Skuteczne wykorzystanie FIDO polega nie tyle na jego włączeniu, co na podjęciu kilku mądrych decyzji na starcie: jakie uwierzytelniacze dopuścić, jak użytkownicy mają się rejestrować, co dzieje się po utracie urządzenia oraz jakie metody awaryjne (fallback) są dozwolone. Dobrze wdrożone uwierzytelnianie FIDO może znacząco poprawić bezpieczeństwo logowań i doświadczenie użytkownika, szczególnie jeśli celem jest odporność na phishing.

Wybierz podejście FIDO: bezhasłowo czy jako drugi składnik

Większość organizacji używa FIDO w jednym z tych wzorców:

• Logowanie bezhasłowe: poświadczenie FIDO jest podstawowym sposobem uwierzytelniania użytkowników.
• Odporne na phishing MFA: FIDO jest wymagane jako dodatkowy krok dla wyższego poziomu zapewnienia.

Dobierz właściwy typ uwierzytelniacza dla użytkowników

„Urządzenie FIDO” może oznaczać różne rzeczy, a jego wybór wpływa na użyteczność, koszt i poziom zapewnienia.

Typowe kategorie uwierzytelniaczy FIDO to:

• Uwierzytelniacz platformowy: wbudowany w telefon, tablet lub komputer i chroniony przez urządzenie. Uwierzytelniacze platformowe są powszechnie używane do passkeyów i logowań bezhasłowych.
• Uwierzytelniacz przenośny (zewnętrzny): przenośny uwierzytelniacz, np. klucz bezpieczeństwa FIDO, używany na wielu urządzeniach.

Typowe transporty i formy uwierzytelniaczy przenośnych obejmują:

• Klucz bezpieczeństwa USB (USB-A lub USB-C) do komputerów stacjonarnych i laptopów.
• Klucz FIDO NFC do użycia przez zbliżenie na urządzeniach mobilnych.
• Karta FIDO NFC do wdrożeń w stylu identyfikatorów (badge) i przepływów opartych na zbliżeniu.
• Klucz bezpieczeństwa Bluetooth w sytuacjach, gdy USB lub NFC jest niepraktyczne.

Praktyczne wskazówki doboru typu uwierzytelniacza FIDO:

• Jeśli Twoi użytkownicy często pracują na telefonach komórkowych, obsługa NFC może być ważniejsza niż USB.
• Jeśli Twoi użytkownicy korzystają z nowoczesnych laptopów, wsparcie USB-C jest standardowym wymaganiem.
• Jeśli chronisz konta uprzywilejowane, rozważ wymaganie zewnętrznego klucza bezpieczeństwa jako opcji o wysokim poziomie zapewnienia.

Sprawdź kompatybilność, zanim wystandaryzujesz sprzęt

Ten krok zapobiega bolesnym wycofaniom (rollback) później.

Przygotuj krótką checklistę kompatybilności:

• Urządzenia użytkowników: Windows, macOS, iOS, Android oraz dostępne typy konektorów.
• Przeglądarki i aplikacje: które z nich wspierają przepływy logowania WebAuthn w Twoim środowisku?
• Dostawca tożsamości: jakie polityki możesz egzekwować, np. wymaganie weryfikacji użytkownika.

Rejestruj użytkowników w jasnym, mało uciążliwym procesie

Rejestracja (ang. enrollment) to moment, w którym adopcja albo przyspiesza, albo wyhamowuje. Twój proces musi być prosty i przewidywalny:

• Zaproponuj jedną rekomendowaną ścieżkę dla większości użytkowników.
• Zapewnij drugą opcję dla przypadków brzegowych, np. użytkowników bez urządzeń mobilnych.
• Dodaj krótki krok weryfikacji, który potwierdza, że uwierzytelniacz działa, zanim zaczniesz egzekwować wymóg.

Najlepsze praktyki rejestracji:

• Wymagaj co najmniej jednej metody zapasowej do odzyskiwania konta (zapasowy klucz bezpieczeństwa FIDO jest mocno rekomendowany).
• Zachęcaj użytkowników do rejestracji więcej niż jednego uwierzytelniacza FIDO, jeśli to możliwe.
• Unikaj wdrożenia ścisłego wymuszania FIDO, dopóki wszyscy użytkownicy nie zakończą rejestracji z powodzeniem.

Zdefiniuj zasady odzyskiwania i cyklu życia przed egzekwowaniem

FIDO ogranicza ryzyko związane z hasłami, ale nie usuwa potrzeby planowania odzyskiwania dostępu. Polityka odzyskiwania to także miejsce, w którym atakujący często próbują socjotechniki.

Uwzględnij te scenariusze wprost:

• Utrata telefonu lub laptopa
• Utrata klucza bezpieczeństwa FIDO
• Zmiana roli (nowe wymagania dostępu)
• Offboarding (porządkowanie uwierzytelniaczy)

Domyślne ustawienia z myślą o bezpieczeństwie:

• Wymagaj uwierzytelniacza zapasowego już na etapie rejestracji.
• Wprowadź dodatkowe kroki bezpieczeństwa do odzyskiwania dostępu, szczególnie dla kont uprzywilejowanych.
• Monitoruj i loguj zdarzenia odzyskiwania, podobnie jak działania administracyjne wysokiego ryzyka.

Ustaw ramy polityk, które zapewniają odporność na phishing

Wartość bezpieczeństwa FIDO może zostać osłabiona, jeśli użytkownicy zawsze mogą podczas logowania wrócić do słabszych metod. Zdecyduj, jakie mechanizmy awaryjne (fallback) są akceptowalne i kiedy mogą być używane.

Sugestie polityk:

• Używaj FIDO jako kroku podstawowego albo wymaganego kroku dodatkowego dla logowań wysokiego ryzyka.
• Ogranicz fallback do OTP i SMS do ścieżek wyjątków z dodatkową weryfikacją.
• Stosuj ostrzejsze wymagania dla administratorów i wrażliwych systemów.

Wdrażaj etapami

Etapowe wdrożenie FIDO zmniejsza zakłócenia i poprawia adopcję.

Sprawdzona sekwencja wdrożenia:

1. Pilotaż z małą grupą, w tym helpdeskiem i administratorami.
2. Rozszerzenie rejestracji na większe zespoły wraz z jasnymi instrukcjami.
3. Egzekwowanie dla aplikacji i ról wysokiego ryzyka w pierwszej kolejności.
4. Zaostrzenie fallbacków po ustabilizowaniu adopcji.

Śledź kilka prostych metryk:

• Odsetek ukończonych rejestracji
• Współczynnik powodzenia uwierzytelnień
• Zgłoszenia helpdesk dotyczące logowania i odzyskiwania dostępu
• Liczba logowań z użyciem FIDO w porównaniu z metodami fallback

FIDO2 wyjaśnione: stos standardów, uwierzytelniacze i kompatybilność w realnym świecie

FIDO2 to nowoczesna generacja standardów FIDO zaprojektowana tak, aby umożliwiać silne, odporne na phishing uwierzytelnianie w sieci i na współczesnych platformach. W praktyce FIDO2 to to, co większość osób ma dziś na myśli, gdy mówi o logowaniu z użyciem klucza bezpieczeństwa FIDO, poświadczenia związanego z urządzeniem lub przepływu logowania opartego na passkey.

Na poziomie standardów FIDO2 składa się z dwóch części:

• WebAuthn: standard W3C, który definiuje, jak witryny żądają poświadczeń klucza publicznego i jak je weryfikują z użyciem przeglądarek i systemów operacyjnych.
• CTAP: standard FIDO Alliance, który definiuje, jak zewnętrzne uwierzytelniacze, takie jak przenośny klucz bezpieczeństwa, komunikują się z urządzeniem klienckim.

Oficjalne komponenty FIDO2 możesz przejrzeć w specyfikacjach FIDO Alliance oraz w specyfikacji W3C Web Authentication.

Definicja FIDO2 prostym językiem

Jasna definicja FIDO2 brzmi: FIDO2 to zestaw otwartych standardów do logowania bezhasłowego i uwierzytelniania odpornego na phishing, który wykorzystuje poświadczenia klucza publicznego i wsparcie współczesnych platform webowych.

W praktyce:

• Witryna lub dostawca tożsamości przechowuje klucz publiczny dla Twojego konta.
• Twój uwierzytelniacz przechowuje klucz prywatny i lokalnie wykonuje operacje podpisywania.
• Podczas logowania uwierzytelniacz zwraca podpisane potwierdzenie (assertion), które serwer weryfikuje.
• Poświadczenie ma zakres ograniczony do prawidłowego kontekstu witryny, co pomaga zapobiegać phishingowi.

Właśnie dlatego FIDO2 jest szeroko stosowane do logowań o wysokim poziomie zapewnienia i stanowi fundament wielu inicjatyw passwordless.

Czym jest standard FIDO2?

Standard FIDO2 nie jest pojedynczym dokumentem. To stos standardów, który umożliwia interoperacyjne uwierzytelnianie w przeglądarkach, systemach operacyjnych i uwierzytelniaczach.

Co to oznacza dla osób oceniających produkty bezpieczeństwa:

• Uwierzytelniacz FIDO2, który przestrzega specyfikacji, może działać w wielu usługach wspierających WebAuthn.
• Relying party weryfikuje podpisaną odpowiedź przy użyciu zapisanego klucza publicznego.
• Możesz wybierać między uwierzytelniaczami platformowymi a zewnętrznymi kluczami bezpieczeństwa w zależności od celów dotyczących poziomu zapewnienia i użyteczności.

Jeśli chodzi o kontekst praktycznej implementacji w produkcie MFA, zobacz, jak działają metody uwierzytelniania FIDO w Rublon MFA.

Czy FIDO2 to fizyczny klucz?

Nie. FIDO2 to standard, a nie urządzenie, więc samo FIDO2 nigdy nie jest fizycznym kluczem. Fizyczny może być natomiast uwierzytelniacz, który implementuje standard FIDO2.

Dwie typowe implementacje to:

• Uwierzytelniacz platformowy: wbudowany w telefon lub komputer, używany do passkeyów i logowań bezhasłowych.
• Uwierzytelniacz przenośny: zewnętrzny klucz bezpieczeństwa FIDO2, który łączy się przez USB, NFC lub Bluetooth.

Klucz bezpieczeństwa FIDO2 to kategoria sprzętowego uwierzytelniacza. YubiKey jest jednym z przykładów klucza bezpieczeństwa wspierającego FIDO2, ale „YubiKey” i „klucz bezpieczeństwa FIDO2” to nie to samo.

Czym jest klucz bezpieczeństwa FIDO2?

Klucz bezpieczeństwa FIDO2 to uwierzytelniacz przenośny (ang. roaming authenticator), czyli przenośne urządzenie sprzętowe implementujące uwierzytelnianie FIDO2. Może być używany na wielu komputerach i urządzeniach mobilnych i jest często wybierany wtedy, gdy organizacja potrzebuje spójnego uwierzytelniania o wysokim poziomie zapewnienia dla wrażliwego dostępu.

Typowe powody, dla których organizacje wybierają klucz bezpieczeństwa:

• Wysoki poziom zapewnienia dla administratorów i wrażliwych systemów, ponieważ uwierzytelniacz jest dedykowanym składnikiem posiadania.
• Silna odporność na phishing, gdy egzekwowane są polityki oparte na FIDO i ograniczane są słabe mechanizmy fallback.
• Mniejsze ryzyko kradzieży poświadczeń, ponieważ operacje na kluczach są wykonywane na uwierzytelniaczu, a nie w oparciu o kody możliwe do odtworzenia.

Klucz bezpieczeństwa działa jak sprzętowy nośnik passkeyów. W porównaniu z passkeyami przechowywanymi wyłącznie programowo, passkeye wspierane sprzętowo są trudniejsze do nadużycia po kompromitacji endpointu, ponieważ klucz prywatny pozostaje chroniony wewnątrz urządzenia i wymaga celowej akcji użytkownika w momencie uwierzytelniania. Szczegółowe porównanie opisano w artykule Software vs. Hardware Passkeys: What’s the Difference?.

Biometryczny klucz bezpieczeństwa FIDO2: co to naprawdę znaczy?

Biometryczny klucz bezpieczeństwa FIDO2 może oznaczać dwie różne rzeczy:

• Klucz bezpieczeństwa ma własny czujnik biometryczny i wykonuje lokalne dopasowanie na kluczu, jak w przypadku YubiKey Bio.
• Użytkownik przechodzi weryfikację biometryczną po stronie platformy (np. odcisk palca funkcji Windows Hello), a uwierzytelnienie FIDO2 wykorzystuje to poświadczenie do podpisania żądania logowania.

W obu przypadkach główna idea jest taka sama: weryfikacja użytkownika zachodzi lokalnie, a klucz prywatny pozostaje chroniony.

Klucz bezpieczeństwa FIDO2 w środowisku Microsoft i na iPhonie

W środowiskach zorientowanych na Microsoft, klucz bezpieczeństwa FIDO2 jest często używany do logowań pracowniczych o wysokim poziomie zapewnienia, w tym do logowania bezhasłowego i uwierzytelniania odpornego na phishing, np. przy logowaniu do Windows 10 i Windows 11 z Microsoft Entra ID. Praktycznym wymogiem jest to, aby powierzchnia logowania wspierała standard WebAuthn i aby wybrany klucz odpowiadał konektorom, które użytkownicy faktycznie mają na swoich endpointach.

Na iPhonie kluczowe są transport i workflow. Wiele scenariuszy iPhone-owych opiera się na NFC lub kompatybilnym złączu, a wsparcie może się różnić w zależności od tego, czy przepływ odbywa się w przeglądarce, w aplikacji, czy w ramach funkcji bezpieczeństwa konta.

Niezawodna checklista kompatybilności jest prosta:

• Dopasuj klucz do endpointów: USB-C dla nowoczesnych laptopów, USB-A dla starszych desktopów, NFC dla przepływów mobilnych przez zbliżenie.
• Zweryfikuj dokładną ścieżkę logowania, jaką podążają użytkownicy, w tym przeglądarkę i dostawcę tożsamości.
• Potwierdź wymagania polityk, takie jak weryfikacja użytkownika, szczególnie dla administratorów i wrażliwych systemów.

Karta inteligentna FIDO2: czy to to samo?

Karta inteligentna FIDO2 to popularne sformułowanie, ale bywa nieprecyzyjne.

Proste wyjaśnienie:

• Karty inteligentne są często kojarzone z uwierzytelnianiem opartym na certyfikatach i przepływami infrastruktury klucza publicznego (PKI).
• Uwierzytelnianie FIDO2 również opiera się na kluczu publicznym, ale wykorzystuje przebiegi (ceremonies) WebAuthn i klucze wspierane przez uwierzytelniacz zamiast klasycznych wzorców middleware dla smart card.

Dla osób porównujących te podejścia dobrym materiałem jest PKI vs. FIDO for Passwordless Authentication: What’s the Difference?.

Co to jest specyfikacja FIDO2?

Określenie „specyfikacja FIDO2” zwykle odnosi się do formalnych dokumentów standardów, które definiują działanie ekosystemu. Kanoniczne źródła to:

• Specyfikacje FIDO Alliance
• Web Authentication

Co to jest WebAuthn?

WebAuthn (skrót od Web Authentication) to standard webowy, który umożliwia stronom internetowym i dostawcom tożsamości uwierzytelnianie użytkowników za pomocą poświadczeń klucza publicznego zamiast haseł. Jest publikowany przez konsorcjum W3C i stanowi kluczowy element nowoczesnego uwierzytelniania FIDO2. Kanoniczną specyfikacją jest Web Authentication: An API for accessing Public Key Credentials.

W praktyce WebAuthn to interfejs przeglądarki i systemu operacyjnego, który umożliwia logowanie za pomocą klucza bezpieczeństwa FIDO, wbudowanego uwierzytelniacza urządzenia lub poświadczenia w stylu passkey. Po stronie standardów współpracuje z FIDO CTAP, który definiuje, jak zewnętrzne uwierzytelniacze komunikują się z urządzeniem klienckim.

Jaką rolę pełni WebAuthn w procesie logowania?

WebAuthn definiuje, w jaki sposób witryna:

• żąda utworzenia poświadczenia klucza publicznego podczas rejestracji (enrollment)
• żąda podpisanego potwierdzenia (assertion) podczas logowania
• otrzymuje wynik z powrotem z przeglądarki w formacie możliwym do zweryfikowania

Dlatego standard WebAuthn pojawia się w wielu realnych implementacjach uwierzytelniania FIDO.

User presence vs. user verification w standardzie WebAuthn

WebAuthn wspiera koncepty „user presence” i „user verification”, które wpływają na poziom zapewnienia. „User presence” oznacza, że użytkownik wykonał celową akcję, np. dotknął klucza bezpieczeństwa. Z kolei „user verification” oznacza, że uwierzytelniacz przed podpisaniem wykonał silniejszą, lokalną weryfikację, np. kodem PIN lub weryfikacją biometryczną.

Dlaczego standard WebAuthn często określa się jako odporny na phishing?

Jednym z głównych powodów, dla których standard WebAuthn jest rekomendowany jako mechanizm odporny na phishing, jest to, że został zaprojektowany do rozpoznawania relying party i wiązania z originem. W poprawnie zaimplementowanym przepływie uwierzytelniacz podpisuje wyzwanie w sposób ograniczony do prawidłowego kontekstu witryny, zamiast wytwarzać sekret nadający się do ponownego użycia, który można odtworzyć gdzie indziej.

Co to jest U2F?

U2F (skrót od Universal 2nd Factor) to starszy standard FIDO zaprojektowany w celu wzmocnienia bezpieczeństwa logowania poprzez dodanie drugiego kroku uwierzytelniania opartego na kryptografii. W praktyce U2F to technologia, która spopularyzowała klasyczne doświadczenie „dotknij klucza bezpieczeństwa FIDO, aby zatwierdzić logowanie” na długo przed tym, jak passkeye stały się mainstreamowe.

U2F jest istotne we współczesnym kontekście FIDO z następujących powodów:

• Wiele organizacji nadal ma klucze z epoki U2F, istniejące wdrożenia oraz nawyki użytkowników.
• Większość nowoczesnych uwierzytelniaczy FIDO2 jest wstecznie kompatybilna i może działać w trybie U2F, co pozwala im współpracować z aplikacjami, które obsługują wyłącznie U2F.

Jeśli chcesz poznać archiwalne tło ze strony organizacji standaryzacyjnej, stowarzyszenie FIDO Alliance udostępnia praktyczny przegląd w dokumencie FIDO U2F & UAF Tutorial.

Jak działa uwierzytelnianie U2F?

U2F realizuje tę samą podstawową ideę bezpieczeństwa, co FIDO :

• Usługa przechowuje klucz publiczny użytkownika.
• Uwierzytelniacz użytkownika przechowuje klucz prywatny.
• Podczas logowania usługa wysyła wyzwanie, a uwierzytelniacz je podpisuje.

W typowym przepływie U2F uwierzytelniacz jest zewnętrznym tokenem sprzętowym, dlatego wiele osób kojarzy U2F z fizycznym urządzeniem FIDO, takim jak klucz bezpieczeństwa USB. Niektóre klucze obsługują także NFC.

Dlaczego standard U2F był ważny dla kluczy bezpieczeństwa?

Standard U2F pomógł upowszechnić kilka właściwości bezpieczeństwa, które nadal są kluczowe dla nowoczesnego uwierzytelniania FIDO:

• Brak współdzielonych sekretów: nie ma sekretu „jak hasło”, który da się skopiować i odtworzyć.
• Uwierzytelnianie challenge–response: każde logowanie używa świeżego kryptograficznego wyzwania.
• Obecność użytkownika: użytkownik musi wykonać świadomą akcję, np. dotknąć klucza.

Dla wielu środowisk był to znaczący postęp w porównaniu z kodami SMS i statycznymi hasłami jednorazowymi, zwłaszcza w obronie przed phishingiem i credential stuffing.

U2F vs. FIDO2: co się zmieniło?

U2F często omawia się obok FIDO2, ponieważ oba dotyczą kluczy bezpieczeństwa, jednak ekosystem ewoluował:

• U2F koncentrowało się na uwierzytelnianiu drugiego składnika z użyciem kluczy bezpieczeństwa.
• FIDO2 rozszerzyło model, obejmując szersze przypadki użycia uwierzytelniania w sieci poprzez WebAuthn i nowsze możliwości uwierzytelniaczy.

Jeśli szukasz jasnego, zorientowanego na implementację wyjaśnienia relacji U2F do współczesnego WebAuthn, zobacz porównanie U2F i WebAuthn.

Gdzie U2F nadal pojawia się w realnych wdrożeniach?

Najczęściej zobaczysz U2F w następujących scenariuszach:

• Wdrożenia legacy, które ustandaryzowały klucze bezpieczeństwa lata temu.
• Aplikacje lub stosy tożsamości, które nadal opisują drugi składnik oparty na kluczu jako „U2F”.
• Środowiska, które chcą prostego doświadczenia „dotknij klucza” bez wdrażania passkeyów (jeszcze).

Częstym źródłem nieporozumień jest to, czy FIDO2 zawsze wymaga fizycznego klucza. U2F zazwyczaj odnosi się do fizycznego klucza bezpieczeństwa, natomiast FIDO2 może wykorzystywać zarówno klucz sprzętowy, jak i wbudowany uwierzytelniacz urządzenia w zależności od możliwości platformy i polityk.

Co to jest FIDO UAF?

FIDO UAF (skrót od Universal Authentication Framework) to wcześniejszy standard FIDO zaprojektowany, aby wspierać uwierzytelnianie bezhasłowe z użyciem zarejestrowanego uwierzytelniacza. Zamiast prosić użytkownika o wpisanie hasła, UAF umożliwia logowanie przez udowodnienie posiadania poświadczenia powiązanego z urządzeniem, zwykle połączone z lokalną weryfikacją użytkownika, np. kodem PIN lub kontrolą biometryczną. Oficjalną definicję i szczegóły protokołu znajdziesz w specyfikacji FIDO Alliance UAF: FIDO UAF v1.2 Specification.

Nadal warto zrozumieć UAF, ponieważ niektóre systemy i dostawcy wciąż używają terminologii UAF, a także dlatego, że pomaga to dostrzec, jak ekosystem FIDO ewoluował do dzisiejszych podejść FIDO2 skoncentrowanych na webie.

Jaki problem miało rozwiązać UAF?

UAF zaprojektowano tak, aby ograniczyć zależność od haseł, zachowując przyjazne doświadczenie logowania. Celem było zapewnienie:

• Logowania bezhasłowego z użyciem zarejestrowanego poświadczenia powiązanego z urządzeniem.
• Silniejszego bezpieczeństwa niż w przypadku samego uwierzytelniania opartego na wiedzy.
• Lepszej użyteczności niż wielokrotne wpisywanie haseł i kodów.

Jak działa FIDO UAF?

UAF stosuje ten sam wzorzec kryptograficzny, który jest wykorzystywany w całym ekosystemie FIDO:

• Podczas rejestracji uwierzytelniacz generuje unikalne poświadczenie dla usługi.
• Usługa przechowuje publiczną część potrzebną do weryfikacji uwierzytelniania.
• Podczas logowania usługa wystawia wyzwanie.
• Uwierzytelniacz podpisuje wyzwanie po tym, jak użytkownik zatwierdzi je lokalnym gestem, PIN-em lub kontrolą biometryczną.

Kluczową właściwością bezpieczeństwa jest to, że uwierzytelniacz wykonuje operacje kryptograficzne lokalnie. Zmniejsza to profil ryzyka w porównaniu ze współdzielonymi sekretami, szczególnie w scenariuszach, w których phishing i ponowne użycie poświadczeń są powszechne.

Jakie typy uwierzytelniaczy były typowe dla UAF?

Wdrożenia UAF często opierały się na uwierzytelniaczach zintegrowanych z urządzeniami użytkowników, a nie na zewnętrznych kluczach bezpieczeństwa. W dzisiejszej terminologii wiele z nich określono by jako uwierzytelniacze wbudowane. UAF można nadal napotkać w starszej dokumentacji, zwłaszcza tam, gdzie biometrię mobilną pierwotnie przedstawiano jako główne doświadczenie użytkownika.

UAF vs. FIDO2: jaka jest praktyczna różnica?

UAF i FIDO2 są używane do logowania bezhasłowego, ale powstały w innych epokach:

• UAF jest kojarzone z wcześniejszymi frameworkami passwordless i implementacjami dostawców, które poprzedzają szeroką standaryzację platform webowych.
• FIDO2 to nowoczesny, zgodny z webem ekosystem skoncentrowany na standardzie WebAuthn i kompatybilnych uwierzytelniaczach.

Innymi słowy, UAF pomaga dziś zrozumieć, gdzie zaczęło się uwierzytelnianie bezhasłowe w świecie FIDO, podczas gdy FIDO2 opisuje, jak stało się interoperacyjne w skali webu.

Czy FIDO UAF jest dziś jeszcze używane?

UAF może nadal pojawiać się w:

• Wdrożeniach legacy, które przyjęły wczesne projekty FIDO passwordless.
• Dokumentacji dostawców, która nie przeszła w pełni na nowszą terminologię.
• Środowiskach utrzymujących starsze frameworki uwierzytelniaczy ze względów kompatybilności.

Większość nowych projektów zaczyna od FIDO2 i WebAuthn, ale UAF nadal występuje w starszej dokumentacji i terminologii dostawców. Wiedza o tym, do czego UAF zostało zaprojektowane, pomaga zrozumieć, jak ekosystem FIDO ewoluował do dzisiejszego modelu web-first.

Czy mogę spełnić wymagania PSD2, korzystając z FIDO?

W wielu przypadkach tak. FIDO wspiera silne uwierzytelnianie klienta (PSD2 Strong Customer Authentication), jeśli zostanie wdrożone z odpowiednimi kontrolami polityk i właściwym doborem uwierzytelniaczy. Trzeba jednak pamiętać, że zgodność z PSD2 to nie „jedna funkcja”. To miks siły uwierzytelniania, kontekstu transakcji, kontroli ryzyka, wyjątków oraz tego, jak zaprojektowane są przepływy płatności lub dostępu.

Czego PSD2 wymaga w praktyce?

W ramach modelu bezpieczeństwa PSD2 silne uwierzytelnianie klienta opiera się na co najmniej dwóch niezależnych elementach z kategorii: wiedza (knowledge), posiadanie (possession) i cecha (inherence). Europejski Urząd Nadzoru Bankowego opisuje te kategorie prostym językiem w swoich wytycznych dotyczących SCA: EBA Opinion on the Elements of Strong Customer Authentication.

Szczegółowe „jak” zdefiniowane zostało w Regulacyjnych Standardach Technicznych (RTS), opublikowanych jako rozporządzenie delegowane Komisji (UE) 2018/389: ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) 2018/389.

Najważniejsze wnioski:

• SCA zazwyczaj oczekuje dwóch niezależnych składników z różnych kategorii.
• Rozwiązanie MFA kompatybilne z FIDO musi chronić spersonalizowane poświadczenia bezpieczeństwa (personalised security credentials) i być odporne na typowe schematy nadużyć.
• W wielu przepływach trzeba też uwzględniać wymagania związane z transakcją oraz wyjątki.

Jak FIDO MFA mapuje się na składniki PSD2 SCA?

Uwierzytelnianie FIDO MFA może spełniać wymagania SCA, jeśli odpowiednio łączy składniki uwierzytelniania i egzekwuje ich niezależność.

Typowe mapowania:

• Posiadanie: użytkownik ma uwierzytelniacz FIDO, np. uwierzytelniacz w telefonie lub klucz bezpieczeństwa FIDO.
• Wiedza: PIN odblokowujący uwierzytelniacz może się kwalifikować, gdy jest zaimplementowany jako osobny element.
• Cecha (inherence): kontrola biometryczna może się kwalifikować, gdy jest lokalnie weryfikowana przez uwierzytelniacz urządzenia.

Mimo to dla zgodności z PSD2 kluczowe nie jest nazewnictwo, lecz to, czy implementacja utrzymuje niezależność składników i unika słabych ścieżek awaryjnych (fallback), które mogłyby podważyć SCA.

A co z dynamic linking i zatwierdzaniem transakcji?

PSD2 zawiera zasady potwierdzania płatności, które wymagają, aby uwierzytelnianie było powiązane z konkretnymi szczegółami transakcji. FIDO może to wspierać, ale zależy to od tego, jak zaprojektowany jest przepływ płatności oraz w jaki sposób informacje o transakcji są prezentowane i zatwierdzane. W regulowanych scenariuszach płatniczych cały przepływ musi zostać sprawdzony względem wymagań PSD2 RTS, szczególnie zasad dotyczących dynamic linking.

Uwagi wdrożeniowe dla regulowanych przepływów płatniczych

Dla zespołów wdrażających FIDO w środowisku regulowanym przez PSD2 poniższe punkty pomagają dopasować przepływ uwierzytelniania do oczekiwań SCA:

• Określ, które działania wymagają SCA, a które kwalifikują się do wyjątków w ramach Twojego modelu ryzyka.
• Egzekwuj polityki uwierzytelniaczy, które spełniają wymaganie dwóch elementów tam, gdzie to potrzebne.
• Wymagaj bezpiecznej rejestracji i bezpiecznego odzyskiwania dostępu dla użytkowników i administratorów.
• Ogranicz lub ściśle kontroluj uwierzytelnianie awaryjne (fallback), zwłaszcza dla działań płatniczych wysokiego ryzyka.
• Loguj zdarzenia uwierzytelniania w sposób wspierający audytowalność i reakcję na incydenty.

Czy mogę spełnić wymagania RODO, korzystając z FIDO?

Często tak. FIDO może wspierać osiągnięcie rezultatów zgodnych z RODO, ponieważ ogranicza zależność od haseł i zmniejsza ryzyko kradzieży poświadczeń, phishingu oraz przejęcia konta. Co jednak ważne: RODO nie nakazuje konkretnego standardu uwierzytelniania. RODO wymaga „odpowiednich środków technicznych i organizacyjnych” zależnie od ryzyka, a uwierzytelnianie wieloskładnikowe (MFA) jest jednym z najczęstszych sposobów, w jaki organizacje ograniczają prawdopodobieństwo i skutki nieuprawnionego dostępu.

Pomocnym zasobem FIDO Alliance na ten temat jest FIDO Authentication and GDPR White Paper.

Czego RODO faktycznie wymaga z perspektywy uwierzytelniania FIDO?

RODO jest oparte na ryzyku. W kontekście bezpieczeństwa art. 32 wzywa do zastosowania odpowiednich środków zapewniających poziom bezpieczeństwa adekwatny do ryzyka. Uwierzytelnianie FIDO wpisuje się w to podejście, ponieważ chroni dostęp do systemów przetwarzających dane osobowe.

Dlaczego FIDO może wzmocnić bezpieczeństwo przetwarzania w RODO?

Uwierzytelnianie FIDO może pomóc, ponieważ zmniejsza powierzchnię ataku.

Kluczowe korzyści, które dobrze mapują się na cele bezpieczeństwa RODO:

• Mniejsza ekspozycja na kompromitację bazy haseł: usługi przechowują klucze publiczne zamiast weryfikatorów haseł nadających się do ponownego użycia.
• Wyższa odporność na phishing: nowoczesne uwierzytelnianie FIDO opiera się wielu przepływom wyłudzania poświadczeń, ponieważ bazuje na kryptograficznym dowodzie powiązanym z prawidłowym kontekstem witryny.
• Silniejsze opcje weryfikacji użytkownika: lokalny kod PIN i biometria mogą zwiększać poziom zapewnienia, gdy są połączone z posiadaniem zaufanego urządzenia.

FIDO i minimalizacja danych: jakie dane są zbierane?

Pytania o zgodność z RODO często koncentrują się na tym, czy metoda uwierzytelniania zwiększa ilość danych osobowych, które usługa musi przechowywać. FIDO zostało zaprojektowane tak, aby unikać tego ryzyka. Dane biometryczne są przetwarzane i dopasowywane lokalnie na urządzeniu użytkownika, a serwer otrzymuje wyłącznie podpisane potwierdzenie (assertion) dowodzące, że uwierzytelnianie się powiodło. Usługa zwykle przechowuje identyfikator konta oraz referencję poświadczenia klucza publicznego zamiast współdzielonego sekretu lub szablonu biometrycznego. Dobrze wpisuje się to w zasady minimalizacji danych i „ochrony danych w fazie projektowania” w RODO, ponieważ ogranicza ilość wrażliwego materiału poświadczeń przechowywanego centralnie.

Logowanie, rozliczalność i audyty

Reakcja na incydenty i rozliczalność w RODO często zależą od tego, czy potrafisz odtworzyć zdarzenia dostępu.

Dobre praktyki przy wdrażaniu FIDO dla systemów przetwarzających dane osobowe:

• Loguj zdarzenia rejestracji, takie jak dodanie i usunięcie uwierzytelniacza.
• Loguj zdarzenia logowania wraz z czasem, aplikacją i kodami wyniku.
• Traktuj odzyskiwanie konta jako zdarzenie wysokiego ryzyka i loguj je ze zwiększoną wnikliwością.

Dla osób, które chcą przykładu implementacyjnego w kontekście MFA, odpowiednim przykładem jest platforma Rublon MFA, gdzie możesz zarządzać uwierzytelniaczami.

Ograniczenia i typowe pułapki

FIDO może poprawić postawę bezpieczeństwa, ale oczekiwania RODO nadal mogą nie zostać spełnione, jeśli:

• Słabe metody fallback pozostają dostępne dla wrażliwych systemów przy minimalnym tarciu.
• Procesy odzyskiwania dostępu są łatwe do obejścia socjotechniką.
• Administratorzy są zwolnieni z silnego uwierzytelniania.
• Uwierzytelnianie jest silne, ale zaniedbuje się autoryzację i przeglądy uprawnień.

Najbezpieczniejsza rama jest taka: FIDO to silny element uwierzytelniania, ale zgodność z RODO zależy od end-to-end zarządzania ryzykiem, ładu (governance) i dowodów (evidence).

Czy mogę osiągnąć odporne na phishing MFA z FIDO?

Tak, w wielu środowiskach FIDO jest jedną z najsilniejszych dróg do odpornego na phishing MFA. Powód jest strukturalny: uwierzytelnianie FIDO opiera się na kryptografii klucza publicznego i podpisywaniu zatwierdzanym przez użytkownika, a nie na sekretach nadających się do ponownego użycia, takich jak hasła czy kody jednorazowe, które można przechwycić i odtworzyć.

Co oznacza „odporne na phishing” w uwierzytelnianiu?

Uwierzytelnianie odporne na phishing oznacza, że nawet jeśli atakujący nakłoni użytkownika do wejścia w interakcję z fałszywą stroną, uzyskane w ten sposób dane uwierzytelniające nie mogą zostać ponownie wykorzystane do zalogowania się do prawdziwej usługi, ponieważ podpis uwierzytelniający jest powiązany z oryginalną domeną (origin) prawdziwej witryny.

W praktyce odporne na phishing MFA ma zapobiegać:

• Wyłudzaniu poświadczeń przez strony logowania łudząco podobne do prawdziwych.
• Atakom adversary-in-the-middle w czasie rzeczywistym, które odtwarzają kody OTP.
• Wzorcom MFA fatigue, które bazują na dezorientacji użytkownika, a nie na dowodzie kryptograficznym.

Metody oparte na FIDO zmniejszają te ryzyka, ponieważ uwierzytelniacz podpisuje wyzwanie w sposób ograniczony do prawidłowego kontekstu usługi, zamiast wytwarzać kod, który da się wpisać w prompt atakującego.

Które metody FIDO są zazwyczaj odporne na phishing?

Rezultaty o najwyższym poziomie zapewnienia pochodzą z nowoczesnych wdrożeń FIDO2, które egzekwują silne polityki:

• Uwierzytelnianie kluczem bezpieczeństwa FIDO2 z wymogiem user presence, często fizycznym kluczem jako składnikiem posiadania.
• Uwierzytelniacze platformowe wymagające weryfikacji użytkownika, np. kodem PIN urządzenia lub lokalnej weryfikacji biometrycznej.
• Logowania oparte na passkey, w których egzekwuje się bazowy przepływ WebAuthn i kontroluje fallbacki.

Co może zepsuć odporność na phishing?

Odporne na phishing MFA nie jest automatyczne. Może zostać osłabione przez decyzje wdrożeniowe, które ponownie wprowadzają składniki możliwe do odtworzenia (replay) lub łatwe ścieżki obejścia.

Typowe błędy to:

• Słabe metody fallback: dopuszczanie kodów SMS lub podstawowego OTP jako rutynowej alternatywy dla tych samych logowań wysokiego ryzyka.
• Niebezpieczne odzyskiwanie: umożliwienie atakującemu resetu uwierzytelniaczy przez procesy helpdesk o niskim poziomie zapewnienia.
• Brak egzekwowania: wspieranie rejestracji FIDO, ale niewymaganie jej dla wrażliwych aplikacji i ról.
• Niespójna weryfikacja użytkownika: akceptowanie uwierzytelniaczy o niskim poziomie zapewnienia bez PIN-u lub weryfikacji biometrycznej wtedy, gdy potrzebny jest wyższy poziom.

Praktyczna checklista dla odpornego na phishing FIDO MFA

Użyj tej checklisty, aby utrzymać wdrożenie FIDO zgodne z celami odporności na phishing:

• Wymagaj metody FIDO dla dostępu uprzywilejowanego i aplikacji wysokiego ryzyka.
• Wymagaj weryfikacji użytkownika tam, gdzie to właściwe, szczególnie dla administratorów.
• Wymagaj co najmniej jednego uwierzytelniacza zapasowego, aby ograniczyć ryzykowne obejścia w procesach odzyskiwania.
• Traktuj odzyskiwanie jako przepływ wysokiego ryzyka z dodatkową weryfikacją i logowaniem.
• Ogranicz metody fallback i regularnie przeglądaj wyjątki.

Sprawdź, czym MFA odporne na phishing różni się od standardowego MFA.

Gdzie FIDO mieści się w szerszej strategii bezpieczeństwa

Nawet przy odpornym na phishing MFA współczesne przejęcia kont nadal zdarzają się innymi ścieżkami, np. przez kradzież sesji, kompromitację endpointu oraz socjotechnikę wokół odzyskiwania dostępu. Silne uwierzytelnianie powinno iść w parze z:

• Bezpieczeństwem urządzeń i zarządzaniem poprawkami
• Ochroną sesji i bezpiecznymi praktykami cookie
• Dostępem warunkowym opartym na ryzyku i kondycji urządzenia
• Monitorowaniem anomalii w logowaniach oraz zdarzeń odzyskiwania

Odporne na phishing MFA z FIDO to istotna kontrola, ale działa najlepiej jako element programu warstwowego, a nie pojedynczy, izolowany wymóg.

Czy FIDO to to samo co passkey?

Nie. FIDO to ekosystem standardów bezpiecznego uwierzytelniania, natomiast passkey to nowoczesny typ poświadczenia zbudowany na tych standardach, zaprojektowany tak, aby ułatwić logowania bezhasłowe zwykłym użytkownikom.

Prosty sposób, żeby to zapamiętać:

• FIDO opisuje bazowe podejście do uwierzytelniania i standardy.
• Passkeys to użytkowy model uwierzytelniania oparty na tych standardach.

Przegląd standardów na poziomie passkeyów znajdziesz w zasobie FIDO Alliance: Passkeys.

Adopcja passkeyów: odsetek kont, które mogą używać passkeyów, mają zarejestrowany passkey i faktycznie logują się z użyciem passkeyów (FIDO Passkey Index, październik 2025).

Definicja passkey

Passkey pozwala zalogować się bez hasła, używając urządzenia, któremu już ufasz, np. telefonu, laptopa lub sprzętowego klucza bezpieczeństwa. Zamiast cokolwiek wpisywać, odblokowujesz urządzenie tak, jak zwykle (odciskiem palca, rozpoznawaniem twarzy lub kodem PIN), a urządzenie udowadnia witrynie, że to naprawdę Ty. Działa to dlatego, że urządzenie przechowuje klucz prywatny, który nigdy go nie opuszcza, a usługa przechowuje wyłącznie odpowiadający mu klucz publiczny.

Passkeye używają tej samej kryptografii FIDO, która napędza sprzętowe klucze bezpieczeństwa. Różnica polega na formie: passkey może znajdować się na Twoich codziennych urządzeniach, natomiast klucz sprzętowy to dedykowany, fizyczny uwierzytelniacz. Oba rozwiązania działają w tym samym, odpornym na phishing modelu.

Passkeye synchronizowane vs. poświadczenia powiązane z urządzeniem

Passkeye mogą być zaimplementowane na różne sposoby, co wpływa na użyteczność i poziom zapewnienia.

Typowe modele obejmują:

• Passkeye synchronizowane – Są przechowywane na urządzeniu użytkownika i kopiowane na jego inne urządzenia poprzez bezpieczny mechanizm synchronizacji platformy. Zostały zaprojektowane pod codzienną wygodę, ułatwiając logowanie na telefonach, laptopach i tabletach należących do tej samej osoby.
• Passkeye powiązane z urządzeniem – Pozostają przypisane do jednego uwierzytelniacza, np. konkretnego telefonu, laptopa lub sprzętowego klucza bezpieczeństwa. Ponieważ nigdy nie opuszczają tego urządzenia, są często preferowane w środowiskach o wyższym poziomie zapewnienia i środowiskach regulowanych, gdzie wymagana jest ściślejsza kontrola składnika posiadania.

Pomocne porównanie tego, czym różnią się programowe passkeye synchronizowane od poświadczeń powiązanych ze sprzętem, znajdziesz w tym opracowaniu: software vs. hardware passkeys. Pokazuje ono, dlaczego organizacje z bardziej rygorystycznymi wymaganiami bezpieczeństwa często skłaniają się ku poświadczeniom powiązanym z urządzeniem lub egzekwują dodatkowe kontrole dotyczące rejestracji, odzyskiwania oraz kont uprzywilejowanych.

Czy FIDO2 jest fizycznym kluczem, jeśli używam passkeyów?

Nie. FIDO2 jest standardem, a passkey jest typem poświadczenia. Żadne z nich nie jest obiektem fizycznym.

Fizyczny może być natomiast uwierzytelniacz, który przechowuje passkey:

• Passkey może być przechowywany we wbudowanym uwierzytelniaczu w telefonie lub komputerze.
• Passkey może być też przechowywany na sprzętowym kluczu bezpieczeństwa.

Zatem passkeye FIDO2 mogą być przechowywane na fizycznych kluczach FIDO2, ale wówczas klucz jest uwierzytelniaczem FIDO2, a nie standardem FIDO2.

Co jest lepsze: passkey czy weryfikacja dwuetapowa?

To zależy od tego, co „weryfikacja dwuetapowa” oznacza w konkretnym produkcie oraz czy 2FA i 2SV są traktowane jako różne pojęcia. Zależy to też od tego, co rozumiesz przez „lepsze”.

Ogólnie:

• Dobrze zaimplementowane logowanie passkey jest projektowane tak, aby opierać się typowym przepływom phishingowym, ponieważ bazuje na dowodzie kryptograficznym, a nie na kodzie, który można wpisać w fałszywym oknie. To czyni je lepszym niż każda inna metoda weryfikacji dwuetapowej, która nie jest odporna na phishing (czyli większość z nich).
• „Weryfikacja dwuetapowa” może oznaczać metody mocniejsze albo słabsze w zależności od tego, czy drugim krokiem jest prompt w aplikacji, kod czasowy czy wiadomość SMS. Jednak passkeye FIDO2 są bezpieczniejsze niż wszystkie te opcje, więc jeśli „lepsze” oznacza „bezpieczniejsze”, to tak: passkey jest lepszy niż te metody uwierzytelniania dwuetapowego.

Jak passkeye wpasowują się w strategię uwierzytelniania FIDO?

Passkeye zwykle dobrze sprawdzają się, gdy:

• Chcesz logowania bezhasłowego dla dużej liczby użytkowników.
• Chcesz ograniczyć resetowanie haseł i uciążliwość w logowaniu.
• Standaryzujesz nowoczesne doświadczenia uwierzytelniania webowego.

Klucze bezpieczeństwa nadal są dobrym wyborem, gdy:

• Potrzebujesz wysokiego poziomu zapewnienia dla administratorów lub wrażliwych systemów.
• Chcesz dedykowanego składnika posiadania, który łatwo wydawać, zarządzać nim i go audytować.
• Chcesz jasnej kontroli „coś, co masz”, która nie zależy od telefonu użytkownika.

Aby lepiej zrozumieć różnice w wygodzie i poziomie ryzyka, zobacz Passkey vs. Password: What’s the Difference?.

Urządzenia FIDO: klucze bezpieczeństwa USB, klucze NFC i karty NFC

Urządzenia FIDO dzielą się na dwie szerokie grupy:

• Uwierzytelniacze platformowe są wbudowane w telefon, tablet lub komputer, a rolę bezpiecznego sprzętu na urządzeniu (TPM, Secure Enclave, Android Keystore/StrongBox itd.) pełni komponent, który przechowuje klucze i wykonuje operacje kryptograficzne.
• Uwierzytelniacze przenośne, takie jak klucz bezpieczeństwa FIDO2 oraz karty FIDO2 NFC, są noszone oddzielnie i używane na wielu endpointach.

Uwierzytelniacz przenośny (roaming) vs. uwierzytelniacz platformowy (platform)

Uwierzytelniacz platformowy jest wbudowany w urządzenie, np. telefon, i powiązany z jego bezpiecznym sprzętem, natomiast uwierzytelniacz przenośny (roaming) to zewnętrzny, przenośny klucz bezpieczeństwa, którego możesz używać na wielu urządzeniach.

Co to jest urządzenie FIDO?

Urządzenie FIDO to uwierzytelniacz, który przechowuje Twoje klucze kryptograficzne i wykonuje bezpieczne operacje wymagane podczas rejestracji i logowania, niezależnie od tego, czy jest wbudowany w urządzenie (platformowy), czy noszony oddzielnie (przenośny).

Fizyczne formy uwierzytelniaczy FIDO2:

• Wbudowane moduły w telefonach, laptopach i tabletach (TPM, Secure Enclave, Android StrongBox).
• Klucze bezpieczeństwa USB w obudowach typu „pendrive”.
• Klucze bezpieczeństwa NFC w formie małych breloków lub tagów.
• Karty inteligentne (smartcard) lub tokeny NFC w formie karty, używane przez zbliżenie.
• Sprzętowe klucze z obsługą BLE zaprojektowane do użycia bezprzewodowego.

Wspólny mianownik jest taki, że uwierzytelniacz chroni klucz prywatny i podczas logowania generuje podpisane odpowiedzi, co pomaga ograniczyć zależność od haseł i kodów możliwych do odtworzenia (replay).

Co to jest klucz bezpieczeństwa FIDO?

Klucz bezpieczeństwa FIDO to zewnętrzny uwierzytelniacz zaprojektowany do silnego uwierzytelniania. Większość kluczy bezpieczeństwa to niewielkie tokeny sprzętowe, które łączą się z urządzeniami użytkownika przez USB lub NFC i wymagają świadomej akcji użytkownika, np. dotknięcia.

Klucze bezpieczeństwa są często wybierane do:

• Dostępu administratorów i dostępu uprzywilejowanego
• Dostępu do wrażliwych systemów, gdzie liczy się odporność na phishing
• Środowisk, które chcą dedykowanego urządzenia uwierzytelniającego niezależnego od telefonu użytkownika

Wyjaśnienie FIDO NFC

FIDO NFC oznacza użycie standardu Near Field Communication jako transportu pomiędzy uwierzytelniaczem przenośnym (roaming) a urządzeniem klienckim z czytnikiem NFC (najczęściej telefonem, ale także komputerem PC z obsługą NFC lub zewnętrznym czytnikiem NFC).

Do czego NFC jest dobre:

• Środowiska mobile-first, w których użytkownicy rzadko podłączają sprzęt przewodowo.
• Szybkie workflow „zbliż, aby się uwierzytelnić”.
• Scenariusze, w których użytkownicy noszą klucz, ale nie chcą używać przejściówek.

Co to jest klucz FIDO NFC?

Klucz FIDO NFC to klucz bezpieczeństwa, który obsługuje standard Near Field Communication, dzięki czemu użytkownicy mogą uwierzytelniać się przez zbliżenie klucza do kompatybilnego czytnika NFC w urządzeniu klienckim, takim jak telefon, tablet lub komputer PC z obsługą NFC. Wiele kluczy NFC obsługuje też USB, co czyni je elastycznym wyborem w mieszanych środowiskach desktopowych i mobilnych.

Praktyczne uwagi:

• Klucze NFC są szczególnie przydatne dla kadry kierowniczej i pracowników mobilnych.
• Obsługa USB-C ma znaczenie w przypadku nowoczesnych laptopów i tabletów.
• Wiele organizacji wydaje użytkownikowi dwa klucze: podstawowy i zapasowy.

Co to jest karta FIDO NFC?

Karta FIDO NFC to uwierzytelniacz FIDO w formacie karty, który wspiera uwierzytelnianie przez zbliżenie NFC. Jest powszechnie używana w środowiskach, w których poświadczenia w formie identyfikatora (badge) są wygodne operacyjnie (wydawanie, wymiana, noszenie razem z identyfikatorem pracowniczym). Firma HID na przykład wprost promuje smart karty z certyfikacją FIDO2 do bezhasłowego dostępu do zasobów cyfrowych.

Typowe mocne strony:

• Łatwa do noszenia razem z identyfikatorem pracownika lub do samodzielnego używania jako identyfikatora pracownika w niektórych zastosowaniach.
• Znane doświadczenie użytkownika w organizacjach, które już używają kart.
• Dobre dopasowanie do współdzielonych stanowisk i kontrolowanych środowisk fizycznych.

Wybór właściwego formatu

Najlepszym uwierzytelniaczem jest taki, z którego użytkownicy są w stanie niezawodnie korzystać każdego dnia bez wprowadzania ryzykownych obejść.

Skorzystaj z tych punktów decyzyjnych:

• USB-A: najlepsze dla starszych komputerów stacjonarnych i laptopów legacy.
• USB-C: najlepsza domyślna opcja dla nowoczesnych laptopów i nowszych tabletów.
• NFC: najlepsze dla użytkowników mobile-first i szybkich workflow opartych na zbliżeniu.
• Biometryczne klucze bezpieczeństwa: przydatne, gdy chcesz weryfikacji użytkownika na kluczu bez konieczności wpisywania kodu PIN.

Jeśli Twoja organizacja nadal w dużym stopniu polega na uwierzytelniaczach opartych na kodach OTP, warto wprost podkreślać różnicę między uwierzytelnianiem wspieranym sprzętowo a metodami typu OTP. Na przykład przepływy OTP oparte na tokenie sprzętowym lub generatorze nadal są zasadniczo oparte na kodach, co stanowi inny model bezpieczeństwa niż podejście FIDO oparte na podpisywaniu wyzwań. Konkretnym przykładem sprzętowego uwierzytelniania opartego na OTP jest YubiKey OTP.

Kompatybilność kluczy bezpieczeństwa FIDO2: obsługiwane urządzenia (Microsoft, iPhone i inne)

Powodzenie lub porażka wdrożenia kluczy bezpieczeństwa FIDO2 często rozstrzyga się na poziomie szczegółów kompatybilności. Klucz musi pasować do urządzeń, z których ludzie faktycznie korzystają, do typów złączy obsługiwanych przez te urządzenia (USB-A, USB-C, NFC, Bluetooth) oraz do „powierzchni logowania”, na których zachodzi uwierzytelnianie. Na to, czy wspierany klucz działa płynnie na co dzień, wpływa wsparcie systemu operacyjnego, zachowanie przeglądarki i egzekwowanie polityk tożsamości.

Co naprawdę oznaczają „obsługiwane urządzenia”?

Klucz bezpieczeństwa FIDO2 może być technicznie kompatybilny z platformą, a mimo to zawieść w praktyce, jeśli workflow nie pasuje do sposobu, w jaki użytkownicy się logują.

Sprawdź te warstwy:

• System operacyjny: Windows, macOS, iOS, Android.
• Przeglądarka i aplikacja: powierzchnia logowania, która faktycznie uruchamia ceremonię WebAuthn.
• Złącze i transport: USB-A, USB-C, NFC lub Bluetooth.
• Polityka tożsamości: czy organizacja wymaga weryfikacji użytkownika, dopuszcza klucze przenośne oraz ogranicza typy kluczy.

Niektóre wdrożenia opierają się także na biometrycznych możliwościach kluczy bezpieczeństwa FIDO2, szczególnie gdy organizacje wymagają poświadczeń powiązanych ze sprzętem i wbudowanych czytników linii papilarnych. W części środowisk wymagana jest weryfikacja użytkownika, a funkcja biometryczna może istnieć zarówno na kluczu, jak i na urządzeniu końcowym (endpoint).

Microsoft i klucze bezpieczeństwa FIDO2: typowe scenariusze pracownicze

W środowiskach skoncentrowanych na Microsoft klucze bezpieczeństwa są oceniane pod kątem logowania do systemu Windows i dostępu korporacyjnego.

Typowe scenariusze obejmują:

• Logowanie do systemu Windows przy użyciu przepływów bezhasłowych z kluczem bezpieczeństwa, np. passwordless Windows Hello MFA
• Wykorzystywanie klucza bezpieczeństwa do uwierzytelniania wieloskładnikowego (MFA) o wysokim poziomie zapewnienia w aplikacjach korporacyjnych
• Ochrona dostępu administratorów sprzętowym składnikiem posiadania

Microsoft opisuje, jak działa bezhasłowe logowanie do systemu Windows z użyciem klucza bezpieczeństwa, w dokumencie FIDO2 security key sign-in to Windows.

Jeśli we wdrożeniu używasz funkcji Windows Hello jako uwierzytelniacza platformowego obok kluczy bezpieczeństwa, potwierdź, jak wpisuje się to w Twoją politykę MFA i wspierane integracje, korzystając z dedykowanego artykułu dostawcy MFA, np. Czy Rublon MFA wspiera funkcję Windows Hello?.

iPhone i klucze bezpieczeństwa FIDO2: co warto wiedzieć

Na iPhonie wsparcie FIDO zwykle oznacza wsparcie w konkretnym systemie kont lub w określonym przepływie aplikacji, a nie uniwersalną obietnicę „działa wszędzie”.

Znaczenie mają dwie praktyczne kwestie:

• Transport: użytkownicy iPhone’a najczęściej polegają na NFC lub kompatybilnym złączu klucza bezpieczeństwa.
• Przypadek użycia: niektóre platformy wspierają klucze bezpieczeństwa do ochrony konta, a nie do ogólnych logowań do stron www we wszystkich aplikacjach.

Apple wyjaśnia, jak działają klucze bezpieczeństwa w ochronie Apple Account, w artykule About Security Keys for Apple Account, a wskazówki na poziomie urządzenia publikuje w Use Security Keys To Sign In To Your Apple Account On iPhone.

Checklista kompatybilności przed zakupem kluczy FIDO

Wykorzystaj tę checklistę, zanim zastosujesz konkretny model:

• Czy użytkownicy potrzebują przede wszystkim USB-C, USB-A czy NFC?
• Czy masz współdzielone stanowiska, gdzie przenośność ma znaczenie?
• Czy wymagasz weryfikacji użytkownika, np. kodu PIN, czy wystarczy user presence?
• Czy musisz wspierać logowania desktopowe i mobilne tym samym kluczem?
• Czy masz zdefiniowany plan na utracone klucze, zapasowy magazyn i wymianę?

Jeśli w procesie zakupowym potrzebujesz dodatkowego poziomu pewności, sprawdź, czy model znajduje się w katalogu produktów przetestowanych pod kątem zgodności przez stowarzyszenie FIDO Alliance: FIDO Certified Products Directory.

Wzorce rozwiązywania problemów, które wyglądają jak kwestie kompatybilności

Wiele zgłoszeń „nie jest wspierane” to w rzeczywistości problemy konfiguracji lub workflow. Typowe przyczyny to:

• Użytkownicy rejestrują się w przeglądarce, której nie używają do faktycznego logowania.
• Klucz jest wyłącznie NFC, a użytkownicy próbują używać go na desktopach bez czytników NFC.
• Organizacja egzekwuje weryfikację użytkownika, ale wybrany przepływ jej nie wymusza.
• Odzyskiwanie dostępu nie jest zaplanowane, więc gdy klucze są niedostępne, użytkownicy wracają do słabszych metod.

Wykorzystanie FIDO2 do SSH i workflow deweloperskich

SSH już wykorzystuje kryptografię klucza publicznego, ale tradycyjne klucze prywatne SSH są zwykle przechowywane jako pliki na dysku. FIDO2 SSH trzyma klucz podpisujący wewnątrz sprzętowego uwierzytelniacza, więc samo skopiowanie pliku klucza SSH nie wystarczy do uwierzytelnienia bez klucza bezpieczeństwa.

Dokumentacja deweloperska Yubico przedstawia klarowny przegląd podejścia w artykule Securing SSH with FIDO2.

Co to jest uwierzytelnianie SSH z FIDO2?

W przypadku kluczy SSH z obsługą FIDO2 materiał klucza prywatnego nie jest eksportowany jako zwykły sekret w postaci pliku. Zamiast tego klient SSH używa poświadczenia, które podczas uwierzytelniania wymaga fizycznego uwierzytelniacza.

Co zyskujesz:

• Silniejszą kontrolę „coś, co masz”, podobną do logowania z użyciem klucza bezpieczeństwa FIDO2.
• Opcjonalną weryfikację użytkownika zależnie od uwierzytelniacza i konfiguracji.
• Mniejsze skutki kradzieży klucza prywatnego z endpointów.

Kiedy FIDO2 SSH ma sens?

Uwierzytelnianie SSH z FIDO2 ma największą wartość tam, gdzie kompromitacja byłaby kosztowna lub trudna do wykrycia:

• Dostęp administratorów do serwerów produkcyjnych i warstw zarządzania.
• Dostęp deweloperów do infrastruktury repozytoriów kodu źródłowego i systemów CI.
• Bastiony i jump boxy.
• Konteksty automatyzacji o wysokiej wartości, gdzie kradzież klucza byłaby katastrofalna.

W tych scenariuszach celem nie jest tylko dostęp bezhasłowy, ale też znaczące utrudnienie ponownego użycia poświadczeń oraz cichej eksfiltracji kluczy.

Uwagi operacyjne dla zespołów

FIDO2 poprawia bezpieczeństwo, ale zmienia też codzienne operacje. Wczesne zaplanowanie tych szczegółów zapobiega przestojom.

Cykl życia kluczy i kopie zapasowe

• Wydaj zapasowy klucz bezpieczeństwa każdemu użytkownikowi uprzywilejowanemu.
• Ustal procedury wymiany utraconych kluczy zanim zaczniesz egzekwować politykę.
• Zdecyduj, czy dla operacji SSH wymagana jest weryfikacja użytkownika.

Kompatybilność i doświadczenie deweloperów

• Potwierdź wersje klienta SSH używane na komputerach deweloperskich i w środowiskach build.
• Zweryfikuj workflow na wszystkich wspieranych platformach, szczególnie jeśli deweloperzy mieszają laptopy, desktopy i środowiska wirtualne.

Ład dostępu (access governance)

• Traktuj rejestrację kluczy i wymianę kluczy jako zdarzenia o wysokiej wrażliwości.
• Loguj uprzywilejowany dostęp SSH i zmiany w authorized keys z taką samą rygorystycznością jak dostęp do konsoli administracyjnej.

Deep dive bezpieczeństwa: czy FIDO lub YubiKey da się zhakować?

Uwierzytelnianie FIDO znacząco zmniejsza ryzyko phishingu i kradzieży haseł, ale żadna kontrola bezpieczeństwa nie jest odporna na każde zagrożenie. Właściwe pytanie nie brzmi, czy klucz bezpieczeństwa FIDO jest „nie do zhakowania”, ale które ścieżki ataku pozostają realistyczne i jak je ograniczyć politykami, kontrolami odzyskiwania oraz bezpieczeństwem endpointów.

Czy YubiKey da się zhakować?

YubiKey to powszechnie używany sprzętowy uwierzytelniacz, który może wspierać FIDO2 i powiązane standardy, ale postawa bezpieczeństwa zależy od modelu, używanego protokołu oraz tego, jak organizacja konfiguruje rejestrację i odzyskiwanie dostępu.

Ścieżki ataku bardziej realistyczne niż „złamanie kryptografii” obejmują:

• Kradzież fizycznego klucza w połączeniu ze słabymi lub nieistniejącymi wymaganiami weryfikacji użytkownika.
• Nadużycia w odzyskiwaniu konta, gdy atakujący omija klucz, przekonując wsparcie do zresetowania uwierzytelniaczy.
• Kompromitacja endpointu, w której malware kradnie sesje, manipuluje przeglądarką lub eksfiltruje tokeny po logowaniu.
• Błędna konfiguracja, która pozwala na rutynowy fallback do słabszych metod, np. kodów SMS dla wrażliwych kont.

Kryptograficzny rdzeń FIDO jest silny. Większość skutecznych kompromitacji dzieje się „dookoła” niego.

Przed czym FIDO nie chroni automatycznie?

FIDO zmniejsza szansę kradzieży poświadczeń, ale nie eliminuje automatycznie tych ryzyk:

• Przejęcia sesji po udanym uwierzytelnieniu.
• Malware na endpoincie, które manipuluje doświadczeniem logowania lub kradnie tokeny.
• Socjotechniki wokół odzyskiwania, które resetują uwierzytelniacze lub dodają nowe urządzenie.
• Nadużyć insider i błędnie nadanego dostępu, gdzie uwierzytelnianie jest silne, ale autoryzacja słaba.

Dlatego wdrożenia o wysokim poziomie zapewnienia traktują rejestrację, zmiany uwierzytelniaczy i odzyskiwanie jako zdarzenia wysokiego ryzyka, z ostrzejszą weryfikacją i logowaniem.

Jak utrudnić obejście wdrożenia FIDO?

Silne rezultaty wynikają z połączenia FIDO ze ścisłą kontrolą cyklu życia:

• Wymagaj weryfikacji użytkownika a nie tylko obecności użytkownika dla dostępu wysokiego ryzyka,.
• Wydawaj zapasowe uwierzytelniacze FIDO, aby odzyskiwanie nie stało się skrótem helpdeskowym.
• Ogranicz metody fallback dla ról uprzywilejowanych i wrażliwych aplikacji.
• Monitoruj i loguj rejestrację, zmiany uwierzytelniaczy i zdarzenia odzyskiwania.

W środowiskach pracowniczych redukcja powierzchni ataku często zaczyna się od ładu (governance) dotyczącego tego, kto może rejestrować uwierzytelniacze i w jaki sposób. Scentralizowane wydawanie i kontrola mogą pomagać w środowiskach regulowanych oraz dla użytkowników uprzywilejowanych, szczególnie przy podejściach takich jak rejestrowane przez admina uwierzytelniacze FIDO.

Ataki fizyczne i ryzyka sprzętowe

Sprzętowe uwierzytelniacze mogą być celem zaawansowanych technik, ale zwykle są to scenariusze wymagające dużego nakładu i ukierunkowania:

• Specjalistyczny sprzęt i czas spędzony z urządzeniem.
• Próby wydobycia sekretów z bezpiecznego sprzętu.
• Ryzyko łańcucha dostaw i podróbek, jeśli zakup następuje przez niezaufane kanały.

W większości organizacji phishing, nadużycia odzyskiwania oraz kompromitacja endpointu są znacznie bardziej prawdopodobne niż bezpośrednie złamanie kryptografii.

Najważniejszy wniosek

Uwierzytelnianie FIDO i klucze bezpieczeństwa FIDO2 znacząco podnoszą koszt przejmowania kont, eliminując poświadczenia nadające się do ponownego użycia i zmniejszając skuteczność phishingu. Pozostałe ryzyko koncentruje się na workflow odzyskiwania, bezpieczeństwie endpointów i ochronie sesji. Ścisłe polityki, zdyscyplinowana rejestracja oraz monitorowane odzyskiwanie zmieniają FIDO w trwałą kontrolę, a nie „checkbox” funkcji.

YubiKey i FIDO2: najczęstsze nieporozumienia

YubiKey to znany sprzętowy uwierzytelniacz, natomiast FIDO2 to otwarty zestaw standardów. Traktowanie tych pojęć jako zamiennych prowadzi do błędów zakupowych, luk w politykach i niespójnych rezultatów uwierzytelniania.

Czy YubiKey ma FIDO2?

Wiele modeli YubiKey wspiera FIDO2 i WebAuthn, ale „YubiKey” to rodzina produktów, a nie pojedynczy zestaw możliwości. To, czy dany klucz wspiera FIDO2, zależy od modelu i konfiguracji. Yubico podsumowuje wsparcie FIDO2 i szersze pozycjonowanie passwordless na stronie standardów: FIDO2 Passwordless Authentication.

Jaka jest różnica między FIDO2 a YubiKey?

FIDO2 to rama standardów, która definiuje sposób działania uwierzytelniania w przeglądarkach, systemach operacyjnych i uwierzytelniaczach. YubiKey to jedna z opcji implementacyjnych, która może pełnić rolę klucza bezpieczeństwa FIDO2.

W praktyce:

• FIDO2 definiuje zachowanie protokołu i właściwości bezpieczeństwa.
• YubiKey to fizyczne urządzenie, które może implementować FIDO2, a także inne protokoły.

To rozróżnienie ma znaczenie przy porównywaniu opcji kluczy bezpieczeństwa FIDO2 od wielu dostawców oraz przy pisaniu polityk, które powinny dotyczyć dowolnego zgodnego uwierzytelniacza.

Jaka jest różnica między YubiKey a soft tokenem?

Soft token to składnik oparty na aplikacji, który generuje lub zatwierdza kody uwierzytelniania, np. czasowe hasła jednorazowe (TOTP) zdefiniowane w RFC 6238 lub zatwierdzenia push. YubiKey używany do uwierzytelniania FIDO jest uwierzytelniaczem wspieranym sprzętowo, który wykonuje kryptograficzne operacje podpisywania, zamiast generować kod przeznaczony do przepisania.

Kluczowe różnice wpływające na bezpieczeństwo i operacje:

• Odporność na ataki replay: wiele przepływów opartych na kodach można wyłudzić phishingiem i przekazać w czasie rzeczywistym, podczas gdy uwierzytelnianie FIDO jest zaprojektowane wokół podpisanych wyzwań.
• Obsługa sekretów: metody soft token opierają się na współdzielonych sekretach przechowywanych na serwerze i kliencie, natomiast FIDO używa poświadczeń klucza publicznego, gdzie klucz prywatny pozostaje chroniony przez uwierzytelniacz.
• Ryzyko endpointu: malware potrafiące odczytywać ekrany lub przechwytywać kody może łatwiej podważyć workflow soft token niż podpisywanie wspierane sprzętowo.

Jaka jest różnica między YubiKey a soft tokenem w uwierzytelnianiu MFA?

W uwierzytelnianiu wielopoziomowym oba podejścia mogą być właściwe, ale odpowiadają na inne profile ryzyka:

• Soft token jest łatwiejszy i tańszy do wdrożenia na szeroką skalę.
• Klucz bezpieczeństwa jest preferowany dla administratorów, aplikacji wysokiego ryzyka i wrażliwych operacji, gdzie priorytetem jest odporność na phishing.

Biometryczne klucze bezpieczeństwa dodają kolejną warstwę, łącząc posiadanie z lokalną weryfikacją biometryczną. Praktyczny przykład w kontekście pracowniczego MFA opisano w Take Your MFA to the Next Level With YubiKey Bio.

Z jakiego kraju pochodzi Yubico?

Yubico opisuje się jako szwedzka firma założona w Szwecji. W opisie firmy widnieje zdanie „Founded in Sweden in 2007” na stronie About Yubico. W kwestii lokalizacji produkcji i programowania Yubico publikuje też artykuł wsparcia wyjaśniający footprint produkcyjny w Szwecji i Stanach Zjednoczonych: Where are YubiKeys manufactured and shipped from?.

Playbook wdrożeniowy FIDO (Enterprise i SaaS)

Udane wdrożenie uwierzytelniania FIDO opiera się na politykach i operacjach, a nie wyłącznie na technologii. Najlepsze rezultaty osiąga się wtedy, gdy wybór uwierzytelniaczy, reguły rejestracji, odzyskiwanie i egzekwowanie są zaprojektowane jako jeden system.

Decyzje dotyczące polityk, które determinują rezultaty bezpieczeństwa

Zacznij od zdefiniowania, jak wygląda „dobry” stan dla każdej aplikacji i grupy użytkowników.

Kluczowe wybory polityk:

• Bezhasłowo czy jako drugi składnik: Zdecyduj, czy FIDO jest podstawową metodą logowania, czy wymaganym dodatkowym składnikiem w uwierzytelnianiu wieloskładnikowym. Dostęp uprzywilejowany i systemy z danymi wrażliwymi korzystają z ostrzejszego egzekwowania MFA.
• Dopuszczone typy uwierzytelniaczy: Zdefiniuj, które uwierzytelniacze są dozwolone dla każdego poziomu ryzyka. Typowe opcje obejmują uwierzytelniacze platformowe oraz uwierzytelniacze przenośne, takie jak klucz bezpieczeństwa FIDO. W przypadku uwierzytelniaczy przenośnych określ, jakie transporty są dozwolone, np. USB, NFC lub Bluetooth, wraz z formami takimi jak klucz FIDO NFC lub karta FIDO NFC.
• Wymagania user presence i user verification: User presence potwierdza intencjonalne użycie, np. dotknięcie klucza. User verification dodaje silniejszą lokalną weryfikację, np. kod PIN lub weryfikację biometryczną. Model WebAuthn definiuje te pojęcia dla poświadczeń klucza publicznego w Web Authentication: An API for accessing Public Key Credentials.
• Metody fallback i wyjątki: Rezultaty odpornego na phishing MFA mogą zostać osłabione, jeśli rutynowe fallbacki dopuszczają słabsze metody w tych samych przepływach wysokiego ryzyka. Wytyczne CISA podsumowują typowe ryzyka obejść i rekomendują odporne na phishing MFA jako element podejścia Zero Trust.

Odzyskiwanie i zarządzanie cyklem życia

Odzyskiwanie to miejsce, w którym wiele programów silnego uwierzytelniania się wykłada. Traktuj zmiany rejestracji i odzyskiwanie jako zdarzenia wysokiego ryzyka, z jasnymi kontrolami.

Operacyjna baza:

• Wymagaj uwierzytelniacza zapasowego: Drugi zarejestrowany uwierzytelniacz FIDO zmniejsza presję, by osłabiać odzyskiwanie, gdy użytkownik traci urządzenie podstawowe.
• Zdefiniuj procedury utraty urządzenia i utraty klucza: Uwzględnij kroki weryfikacji, reguły eskalacji i zabezpieczenia czasowe dla użytkowników uprzywilejowanych.
• Obsłuż zmiany ról i offboarding: Upewnij się, że uwierzytelniacze i wyjątki są przeglądane przy zmianach ról. Usuwaj dostęp niezwłocznie przy offboardingu, a następnie weryfikuj, że kanały odzyskiwania nie pozostały otwarte.
• Chroń administratorów ostrzejszymi zasadami: Konta adminów powinny mieć bardziej rygorystyczne wymagania rejestracji, ostrzejsze odzyskiwanie i mniej opcji fallback.

Praktycznym sposobem uporządkowania tych kroków w organizacji jest podążanie za roadmapą wdrożeniową, taką jak Poradnik wdrażania uwierzytelniania wieloskładnikowego (MFA), a następnie zastosowanie polityk specyficznych dla FIDO per aplikacja i grupa.

Obsługa aplikacji legacy

Nie każda aplikacja wspiera nowoczesne przepływy uwierzytelniania. Legacy nie musi blokować postępu, ale musi być obsłużone świadomie.

Typowe wzorce:

• Postaw aplikację za SSO, RDP z MFA lub bramą dostępu: Umieść silne uwierzytelnianie „na drzwiach wejściowych”, a następnie pozwól aplikacji legacy korzystać z już uwierzytelnionej sesji.
• Stosuj step-up authentication dla działań wrażliwych: Nawet jeśli aplikacja nie wspiera FIDO natywnie, można egzekwować silny drugi krok, gdy rośnie ryzyko, np. przy działaniach administracyjnych lub eksporcie danych.
• Zaplanuj ścieżkę migracji: Udokumentuj, które aplikacje są legacy, które nadają się do modernizacji, a które trzeba wycofać lub zastąpić.

Mierzenie sukcesu

Mierz wyniki, które odzwierciedlają zarówno bezpieczeństwo, jak i wygodę użytkownika. Dzięki temu wdrożenie pozostaje realistyczne i pozwala lepiej ustalać priorytety poprawek.

Metryki bezpieczeństwa i adopcji:

• Enrollment Completion Rate: ilu użytkowników pomyślnie zarejestrowało wymagane uwierzytelniacze.
• FIDO Usage Rate: ile logowań używa FIDO zamiast metod fallback.
• Authentication Success Rate: odsetek niepowodzeń według platformy, przeglądarki i aplikacji.
• Recovery Events: jak często uruchamiane jest odzyskiwanie i czy wzorce wskazują na nadużycia.
• Helpdesk Load: resety haseł, prośby o wsparcie rejestracji oraz tickety odzyskiwania.

Jeśli metryki pokazują częste fallbacki, sprawdź, czy kompatybilność, wymagania weryfikacji użytkownika lub projekt odzyskiwania nie wypychają użytkowników na słabsze ścieżki.

Zakup klucza bezpieczeństwa FIDO2: w pobliżu, przez Internet i pytania zakupowe

Zakup klucza bezpieczeństwa FIDO2 powinien zaczynać się od wymagań technicznych, a nie od miejsca sprzedaży. Typ uwierzytelniacza, kompatybilność platformowa i weryfikacja autentyczności mają większe znaczenie niż to, gdzie klucz jest sprzedawany. Ta sekcja koncentruje się na tym, co sprawdzić, aby klucz działał na komputerach stacjonarnych, laptopach i urządzeniach mobilnych oraz aby wdrożenie nie wprowadzało ryzyka podróbek i problemów z cyklem życia.

Jako neutralny punkt odniesienia (vendor-neutral) FIDO Alliance prowadzi katalog zgodności w FIDO Certified Products Directory.

Zakup klucza bezpieczeństwa FIDO2: co zweryfikować w każdej ofercie

Oferty detaliczne często pomijają szczegóły, które decydują o tym, czy klucz zadziała w Twoim środowisku.

Potwierdź podstawy:

• Obsługiwane protokoły: szukaj wyraźnego wsparcia dla FIDO2 i WebAuthn, a nie wyłącznie funkcji OTP czy przestarzałego U2F.
• Typy złączy: USB-C, USB-A, NFC lub Bluetooth, zależnie od Twoich endpointów.
• Pokrycie platform: komputery stacjonarne, laptopy i urządzenia mobilne używane przez Twoich użytkowników.
• Weryfikacja użytkownika: czy wymagasz wsparcia dla kodu PIN lub weryfikacji biometrycznej dla wyższego poziomu zapewnienia.
• Wymagania dotyczące formatu: czy dla intensywnego użycia mobilnego potrzebujesz opcji przyjaznej dla NFC.

Jeśli rollout obejmuje workflow z NFC, zweryfikuj obsługę NFC zamiast zakładać, że jest dostępna — szczególnie w przypadku kluczy promowanych głównie do zastosowań desktopowych.

Wybór właściwego klucza dla Twoich endpointów

Dopasuj klucz do urządzeń, z których użytkownicy faktycznie korzystają każdego dnia.

Szybki przewodnik decyzyjny:

• USB-C: nowoczesne laptopy i wiele tabletów
• USB-A: komputery legacy i starsze floty laptopów
• NFC: workflow mobile-first oraz środowiska ze współdzielonymi urządzeniami, gdzie używa się uwierzytelniania przez zbliżenie
• Biometryczny klucz bezpieczeństwa: przydatny, gdy chcesz weryfikacji użytkownika na samym kluczu, zamiast polegać na endpoincie

W mieszanych flotach wydanie klucza z podwójnym interfejsem, np. USB-C + NFC, może ograniczyć liczbę wyjątków.

Cykl życia i planowanie operacyjne

Klucz bezpieczeństwa FIDO2 nie jest jednorazowym zakupem. Staje się zasobem, którym trzeba zarządzać w cyklu życia.

Operacyjne „must have”:

• Zapas w magazynie: utrzymuj dostępność zamienników, aby uniknąć niebezpiecznych „skrótów” w odzyskiwaniu dostępu.
• Strategia zapasowa: wydaj co najmniej jeden klucz zapasowy dla użytkowników uprzywilejowanych.
• Przypisanie i ewidencja: śledź, który klucz został wydany któremu użytkownikowi i kiedy został wymieniony.
• Offboarding: odzyskuj lub unieważniaj klucze i usuwaj rejestracje w ramach procesów wyjścia.

Gdy klucze bezpieczeństwa są wdrażane w platformie MFA, kroki rejestracji i wymiany powinny być udokumentowane z taką samą starannością jak procedury resetowania haseł.

Potrzebujesz klucza FIDO? Pomożemy Ci wybrać

Oferujemy szeroki wybór sprzętowych kluczy FIDO, aby sprostać Twoim potrzebom bezpieczeństwa. Niezależnie od tego, czy szukasz kluczy pasujących do Twojej konkretnej infrastruktury, czy potrzebujesz porady na temat najlepszych opcji dla Twojej organizacji, możemy Ci pomóc. Skontaktuj się z pomocą techniczną Rublon Support, aby uzyskać spersonalizowane rekomendacje i wsparcie.

Najczęściej zadawane pytania o FIDO, uwierzytelnianie FIDO i FIDO2

Słowniczek FIDO

Atestacja

Atestacja to proces, w którym uwierzytelniacz FIDO dostarcza weryfikowalne informacje o sobie podczas rejestracji. Atestacja jest często używana, aby ograniczyć polityką, które modele uwierzytelniaczy są dozwolone.

Challenge-response

Uwierzytelnianie challenge-response to wzorzec, w którym serwer wysyła unikalne wyzwanie, a uwierzytelniacz zwraca podpisaną odpowiedź. Challenge-response dowodzi posiadania klucza prywatnego bez jego ujawniania.

Client To Authenticator Protocol (CTAP)

Client To Authenticator Protocol (CTAP) to rodzina protokołów, która definiuje, jak przenośny (roaming) uwierzytelniacz FIDO komunikuje się z urządzeniem klienckim. CTAP jest zwykle kojarzony z kluczami bezpieczeństwa FIDO2.

Credential stuffing

Credential stuffing to atak, w którym skradzione pary login–hasło są testowane w wielu usługach. Credential stuffing jest mniej skuteczne wobec uwierzytelniania FIDO, ponieważ FIDO nie opiera się na współdzielonych sekretach nadających się do ponownego użycia.

FIDO (Fast IDentity Online)

FIDO (Fast IDentity Online) to ekosystem standardów silnego uwierzytelniania, który ogranicza zależność od haseł dzięki kryptografii klucza publicznego. FIDO obejmuje wiele standardów i profili, w tym wcześniejsze U2F i UAF oraz nowoczesne FIDO2.

FIDO2

FIDO2 to nowoczesny stos standardów, który umożliwia uwierzytelnianie w sieci i na różnych platformach z użyciem WebAuthn i CTAP. FIDO2 jest często implementowane z użyciem uwierzytelniaczy platformowych i zewnętrznych kluczy bezpieczeństwa.

Karta FIDO NFC

Karta FIDO NFC to uwierzytelniacz FIDO w formie karty, który obsługuje uwierzytelnianie oparte na NFC. Karta FIDO NFC jest często używana w środowiskach, gdzie wygodnie korzysta się z identyfikatorów pracowniczych.

Klucz bezpieczeństwa FIDO

Klucz bezpieczeństwa FIDO to przenośny sprzętowy uwierzytelniacz używany do kryptograficznego uwierzytelniania. Klucz bezpieczeństwa FIDO może obsługiwać USB, NFC oraz weryfikację biometryczną w niektórych modelach.

Klucz FIDO NFC

Klucz FIDO NFC to klucz bezpieczeństwa, który obsługuje standard Near Field Communication, dzięki czemu może być używany z kompatybilnymi urządzeniami mobilnymi przez zbliżenie. Klucz FIDO NFC często obsługuje także USB, więc można go używać na komputerach stacjonarnych i laptopach.

Uwierzytelnianie wieloskładnikowe (MFA)

Uwierzytelnianie wieloskładnikowe (MFA) to sposób weryfikacji tożsamości użytkownika, który wykorzystuje dwa lub trzy niezależne składniki uwierzytelniania z kategorii: coś, co wiesz, coś, co masz i coś, czym jesteś.

Origin binding

Origin binding to właściwość nowoczesnego uwierzytelniania webowego, w której poświadczenia mają zakres ograniczony do prawidłowego kontekstu witryny. Origin binding zmniejsza ryzyko, że uwierzytelnianie da się ponownie wykorzystać na domenach podszywających się pod prawdziwą.

Passkey

Passkey to poświadczenie klucza publicznego używane do logowania bez hasła. Passkey został zaprojektowany, aby ułatwić użytkownikom uwierzytelnianie oparte na standardach FIDO na różnych urządzeniach.

Poświadczenie

W kontekście FIDO poświadczenie (ang. credential) to oparty na kluczu publicznym zapis logowania utworzony dla konkretnego konta użytkownika i relying party. Serwer przechowuje klucz publiczny i używa go do weryfikacji podpisanych odpowiedzi uwierzytelniających, podczas gdy klucz prywatny pozostaje chroniony wewnątrz uwierzytelniacza.

Poświadczenie powiązane z urządzeniem

Poświadczenie powiązane z urządzeniem (ang. device-bound credential) to poświadczenie FIDO, którego klucz prywatny jest przypisany do konkretnego uwierzytelniacza i nie może zostać wyeksportowany jako standardowy plik klucza. Takie poświadczenie może być nadal używane na wielu urządzeniach, jeśli sam uwierzytelniacz jest przenośny, np. przenośny klucz bezpieczeństwa (ang. roaming security key).

Relying Party (RP)

Relying party (RP) to strona internetowa, aplikacja lub system tożsamości, który żąda uwierzytelnienia i weryfikuje odpowiedź kryptograficzną. Relying party (RP) przechowuje klucz publiczny i podczas logowania weryfikuje podpisane potwierdzenia (assertions).

Relying Party ID (RP ID)

Relying party ID (RP ID) to identyfikator, który ogranicza poświadczenia do kontekstu domeny. RP ID pomaga zapobiec użyciu poświadczenia w niepowiązanych witrynach.

Uwierzytelniacz FIDO

Uwierzytelniacz FIDO to urządzenie lub wbudowany komponent, który tworzy i wykorzystuje klucze kryptograficzne do uwierzytelniania. Uwierzytelniaczem może być uwierzytelniacz platformowy w telefonie lub laptopie albo zewnętrzny klucz bezpieczeństwa.

Uwierzytelniacz platformowy

Uwierzytelniacz platformowy to uwierzytelniacz FIDO wbudowany w urządzenie, np. telefon lub laptop. Wykorzystuje bezpieczny sprzęt do ochrony kluczy prywatnych i opiera się na kodzie PIN lub metodzie biometrycznej jako weryfikacji użytkownika.

Uwierzytelniacz przenośny (roaming)

Uwierzytelniacz przenośny (ang. roaming authenticator) to zewnętrzny uwierzytelniacz FIDO, którego można używać na wielu urządzeniach. Najczęściej ma postać klucza bezpieczeństwa FIDO2.

Silne uwierzytelnianie klienta (SCA)

Silne uwierzytelnianie klienta (SCA) to metoda weryfikacji użytkownika z użyciem co najmniej 2 niezależnych składników: czegoś, co wiesz, masz lub czym jesteś. W praktyce SCA to MFA zaprojektowane dla bankowości i płatności. W Unii Europejskiej SCA jest powszechnie wymagane dla wielu płatności elektronicznych na mocy PSD2.

Transport uwierzytelniacza

Transport uwierzytelniacza to metoda, której zewnętrzny uwierzytelniacz FIDO używa do połączenia z urządzeniem. Najczęściej obejmuje USB, NFC lub Bluetooth.

U2F (Universal 2nd Factor)

U2F (Universal 2nd Factor) to wcześniejszy standard FIDO skoncentrowany na kryptograficznym uwierzytelnianiu drugiego składnika z użyciem kluczy bezpieczeństwa. U2F ugruntowało logowanie użytkownika typu „dotknij klucza” w wielu wdrożeniach.

UAF (Universal Authentication Framework)

UAF (Universal Authentication Framework) to wcześniejszy standard FIDO zaprojektowany, aby wspierać uwierzytelnianie bezhasłowe z użyciem zarejestrowanych uwierzytelniaczy. W nowych implementacjach zastępowany przez FIDO2, UAF czasami występuje jeszcze we wdrożeniach legacy.

User presence

User presence to wymóg, aby użytkownik wykonał wyraźną akcję potwierdzającą intencję. User presence jest często spełniane przez dotknięcie klucza bezpieczeństwa FIDO.

User verification

User verification to silniejsza lokalna kontrola wykonywana przez uwierzytelniacz FIDO przed użyciem klucza prywatnego. Weryfikacja użytkownika jest najczęściej realizowana jako kod PIN lub weryfikacja biometryczna.

WebAuthn (Web Authentication)

WebAuthn (Web Authentication) to standard webowy autorstwa konsorcjum W3C, który definiuje, jak przeglądarki i platformy tworzą oraz wykorzystują poświadczenia klucza publicznego do uwierzytelniania. WebAuthn jest kluczowym komponentem FIDO2.

Podsumowanie

Uwierzytelnianie FIDO zastępuje bezpieczeństwo oparte na hasłach dowodem kryptograficznym, pomagając organizacjom ograniczyć ryzyko phishingu i ponownego użycia poświadczeń, a jednocześnie poprawiając doświadczenie logowania. FIDO2 i WebAuthn sprawiają, że te korzyści da się szeroko wdrażać we współczesnych przeglądarkach, systemach operacyjnych i uwierzytelniaczach, w tym w kluczach bezpieczeństwa, urządzeniach z obsługą NFC oraz wbudowanych uwierzytelniaczach platformowych.

Najsilniejsze rezultaty osiąga się, traktując FIDO jako pełny program: wybieraj typy uwierzytelniaczy dopasowane do realnych workflow, wymagaj uwierzytelniaczy zapasowych, „dokręcaj” odzyskiwanie i egzekwuj spójne polityki dla dostępu wysokiego ryzyka. Przy takich fundamentach FIDO może dostarczyć praktyczne, skalowalne uwierzytelnianie odporne na phishing w środowiskach pracowniczych i klienckich.