Apa itu FIDO (Fast Identity Online)?
FIDO (Fast Identity Online) adalah sekumpulan spesifikasi keamanan yang tidak bergantung pada teknologi tertentu untuk otentikasi yang kuat. FIDO dikembangkan oleh FIDO Alliance, sebuah organisasi nirlaba yang bertujuan untuk menstandarisasi otentikasi pada lapisan klien dan protokol.
Spesifikasi FIDO mendukung otentikasi multifaktor (MFA) dan kriptografi kunci publik. Berbeda dengan database kata sandi, FIDO menyimpan informasi pribadi, seperti data otentikasi biometrik, secara lokal di perangkat pengguna untuk melindunginya. Penyimpanan lokal ini dirancang untuk mengurangi kekhawatiran pengguna terhadap data pribadi yang disimpan di server eksternal atau cloud. Dengan menyederhanakan implementasi protokol menggunakan API, FIDO juga mengurangi beban pengembang dalam menciptakan sistem login aman untuk perangkat mobile dengan berbagai sistem operasi dan perangkat keras.
FIDO mendukung protokol Universal Authentication Framework (UAF), Universal Second Factor (U2F), dan FIDO2. Dalam UAF, perangkat klien membuat pasangan kunci baru saat mendaftar dengan layanan online dan menyimpan kunci privat. Kunci publik kemudian didaftarkan ke layanan tersebut. Saat otentikasi, perangkat klien membuktikan kepemilikan kunci privat dengan menandatangani tantangan, menggunakan cara yang mudah bagi pengguna, seperti sidik jari, PIN, selfie, atau berbicara ke mikrofon.
Pada U2F, otentikasi membutuhkan faktor kedua yang kuat, seperti ketukan NFC atau token keamanan USB. Pengguna akan diminta untuk memasukkan dan menyentuh perangkat U2F pribadi mereka saat login. Perangkat yang mendukung FIDO membuat pasangan kunci baru, lalu kunci publik dibagikan dengan layanan online dan dihubungkan dengan akun pengguna. Layanan tersebut kemudian dapat mengautentikasi pengguna dengan meminta perangkat yang terdaftar untuk menandatangani tantangan menggunakan kunci privat.
Sejarah FIDO Alliance
Pada tahun 2007, PayPal mencoba meningkatkan keamanan dengan memperkenalkan MFA kepada pelanggannya melalui perangkat password sekali pakai (OTP) bernama Secure Key. Meskipun Secure Key efektif, tingkat adopsinya rendah dan hanya digunakan oleh sedikit pengguna yang peduli dengan keamanan. Perangkat tersebut membuat proses otentikasi menjadi lebih rumit, dan sebagian besar pengguna merasa tidak perlu menggunakannya.
Dalam diskusi tentang integrasi teknologi pemindai sidik jari ke PayPal, Ramesh Kesanupalli (saat itu CTO Validity Sensors) berbicara dengan Michael Barrett (saat itu CISO PayPal). Barrett menyatakan bahwa diperlukan standar industri yang dapat mendukung semua perangkat keras otentikasi. Dari sinilah Kesanupalli mulai mengumpulkan rekan-rekan industri untuk mewujudkan ide tersebut.
FIDO Alliance didirikan sebagai hasil dari upaya ini dan diumumkan ke publik pada Februari 2013. Sejak itu, banyak perusahaan bergabung menjadi anggota, termasuk Google, Microsoft, Apple, ARM, Bank of America, Mastercard, Visa, Samsung, Dell, dan RSA.
Saat ini, otentikasi FIDO didasarkan pada tiga prinsip utama: kemudahan penggunaan, standarisasi, dan privasi/keamanan.