FIDO2/WebAuthn implementation and analysis in terms of PSD2

Abstract

Το FIDO είναι ένα εναλλακτικό πρότυπο αυθεντικοποίησης χωρίς την χρήση κωδικών το οποίο μπορεί να χρησιμοποιηθεί για να αντικαταστήσει τις παραδοσιακές μεθόδους αυθεντικοποίησης οι οποίες βασίζονται στην χρήση username και password. Το FIDO χρησιμοποιεί κρυπτογραφία δημόσιου και ιδιωτικού κλειδιού σε συνδυασμό με την κατοχή προσωπικών συσκευών αυθεντικοποίησης (π.χ. ένα laptop, ένα έξυπνο κινητό ή ένα USB κλειδί ασφαλείας) για να αυθεντικοποιήσει τον χρήστη ζητώντας μια επιπλέων πιστοποίησή του μέσω βιομετρικών (π.χ. σάρωση δακτυλικού αποτυπώματος) ή κάποιο γνωστικό αντικείμενο (π.χ. ένα PIN ή ένα μοτίβο κλειδώματος). Το FIDO2 συνδέει τις FIDO συσκευές αυθεντικοποίησης στο περιβάλλον του διαδικτύου, μέσο της χρήσης της προδιαγραφής WebAuthn, και με αυτόν τον τρόπο το κάνει ιδανικό για την παροχή strong client authentication (SCA) για να καλύψει τις απαιτήσεις του Payment Services Directive (PSD2). Σε αυτήν την εργασία, κάνουμε μια ανασκόπηση στον τρόπο λειτουργείας των FIDO2/WebAuthn, στον τρόπο με τον οποίο το FIDO μπορεί να καλύψει τις απαιτήσεις του SCA αλλά και τι προβλήματα μπορεί να αντιμετωπίσει κάποιος κατά την χρήση του για τον λόγω αυτόν. Επιπλέον, παρουσιάζουμε FIDO2/WebAuthn λύσεις ανεπτυγμένες για την παροχή ισχυρής αυθεντικοποίησης μέσο FIDO σε εφαρμογές κάτω από διάφορα περιβάλλοντα.