FIDO Alliance
การยืนยันตัวตนด้วย Passkey ซึ่งเป็นการเก็บคู่กุญแจเข้ารหัสไว้ในเครื่อง ได้รับความนิยมมากขึ้นเรื่อยๆ นับตั้งแต่เปิดตัวช่วงต้นปี 2023 ก็มีบริการออนไลน์จำนวนมากประกาศรองรับ Passkey กันถ้วนหน้า
อย่างไรก็ตาม ปัญหาสำคัญของ Passkey คือการซิงก์กุญแจข้ามเครื่อง หรือข้ามซอฟต์แวร์จัดการล็อกอินคนละยี่ห้อกัน ซึ่งยังไม่มีมาตรฐานกลางมากำหนดว่าควรทำอย่างไร
AWS ประกาศเพิ่มฟีเจอร์ Passkey สำหรับการล็อกอินเข้าระบบด้วยกุญแจ USB, โทรศัพท์มือถือผ่านบัญชี Google/Apple, ล็อกบัญชีเข้ากับอุปกรณ์ที่รองรับ FIDO
แม้ว่า Passkey จะใช้แทนรหัสผ่านไปได้เลย แต่ตอนนี้ AWS ก็เลือกที่จะใช้รหัสผ่านต่อไป โดยใช้ Passkey เป็นแค่การล็อกอินขั้นที่สอง หน้าจอคอนโซลของ AWS เปิดให้เพิ่ม Passkey เข้าระบบเพิ่มขึ้นได้เรื่อยๆ ไม่จำกัดจำนวนอุปกรณ์
การเพิ่มฟีเจอร์ครั้งนี้มาพร้อมกับการบังคับว่า root account จะต้องล็อกอินสองขั้นตอนเท่านั้น โดยยังบังคับเฉพาะ root account ของ AWS Organization ก่อนโดยจะค่อยๆ ไล่บังคับไปจนครบภายในปีนี้
กูเกิลร่วมกับทีมวิจัยจาก ETH Zürich พัฒนาเฟิร์มแวร์กุญแจยืนยันตัวตน FIDO รุ่นพิเศษ ที่ใช้กระบวนการเข้ารหัสลับที่ทนทานต่อคอมพิวเตอร์ควอนตัม เป็นการเตรียมทางสู่การวางมาตรฐาน FIDO รุ่นต่อๆ ไปที่จะรองรับกระบวนการนี้ในอนาคต
เฟิร์มแวร์นี้มีลายเซ็นดิจิทัลยืนยันข้อมูลซ้อนกันสองชั้น คือ ECDSA แบบเดิมๆ และ Dilithium ที่ NIST เลือกเป็นมาตรฐานการเซ็นลายเซ็นดิจิทัลแบบทนทานคอมพิวเตอร์ควอนตัม ความยากในการอิมพลีเมนต์คือโค้ดทั้งหมดต้องรันด้วยแรมเพียง 20KB เท่านั้น และตัวกุญแจต้องตอบผลลัพธ์ต่างๆ ภายในเวลาที่กำหนดไว้ในมาตรฐาน
กูเกิลประกาศผู้ใช้งานบัญชีกูเกิลทุกคนสามารถสร้าง Passkeys ได้ตั้งแต่วันนี้เป็นต้นไป เมื่อผู้ใช้งานเปิดใช้ Passkeys กูเกิลจะไม่ถามการยืนยันตัวตนสองขั้นตอนอีก เมื่อมีการล็อกอินเข้าสู่ระบบ
Passkeys เป็นรูปการล็อกอินยืนยันตัวตนที่ไม่ต้องใช้รหัสผ่าน แต่อาศัยการยืนยันตัวตนกับอุปกรณ์แทน มีความปลอดภัยมากกว่า ผู้ใช้ไม่ต้องจดจำรหัสผ่านซึ่งหลายครั้งมักเป็นรหัสผ่านที่คาดเดาได้ง่าย อีกทั้งการผูกกับอุปกรณ์โดยเฉพาะ ก็ทำให้มีความปลอดภัยมากกว่าการใช้ SMS OTP ยืนยันตัวตน แนวทางนี้เป็นมาตรฐานที่ทั้งกูเกิล แอปเปิล และไมโครซอฟท์ ประกาศผลักดันร่วมกันบนมาตรฐาน FIDO
แอปเปิลประกาศขยายความสามารถในการดูแลความปลอดภัยของบริการบนอุปกรณของแอปเปิลพร้อมกัน 3 รายการครอบคลุมบริการหลักๆ ได้แก่
จากกรณี Twilio รายงานถูกแฮ็ก สาเหตุมาจากพนักงานถูกโจมตี Phishing แบบตั้งใจเจาะ ทางบริษัท Twilio รายงานว่ากลุ่มแฮ็กเกอร์ตั้งใจโจมตีแบบ phishing ไปยังองค์กรอีกหลายแห่งด้วย
Cloudflare เป็นองค์กรอีกแห่งที่ออกมาเปิดเผยว่าพบการโจมตีแบบเดียวกัน พนักงานได้ข้อความ SMS หน้าตาแบบเดียวกันเพื่อหลอกให้กดลิงก์ แต่กรณีของ Cloudflare ดักการโจมตีเอาไว้ได้เพราะบังคับพนักงานทุกคนต้องใช้คีย์ยืนยันตัวตนแบบฮาร์ดแวร์ทำ MFA อีกชั้น
PyPI บริการโฮสต์แพ็กเกจไลบรารีภาษาไพธอนประกาศปรับปรุงความปลอดภัยด้วยการบังคับให้โครงการที่เข้าข่ายสำคัญยิ่งยวด จำนวน 3,500 โครงการ ต้องใช้กุญแจล็อกอิน FIDO U2F ในการล็อกอินแบบ WebAuthn พร้อมกันนี้ทีมงาน Google Open Source Security ก็สปอนเซอร์กุญแจ Titan พร้อมค่าส่งฟรี
โครงการที่เข้าข่ายสำคัญยิ่งยวดจะคำนวณจากโครงการที่มียอดดาวน์โหลดสูงสุด 1% แรกจากโครงการบน PyPI ทั้งหมด 350,000 โครงการในห้วงเวลา 6 เดือน ดังนั้นจึงมีโครงการชุดแรกเข้าข่าย 3,500 โครงการ แต่รายชื่อโครงการจะคำนวณใหม่ทุกวัน และโครงการที่หลุดจาก 1% แรกก็ยังได้สถานะสำคัญยิ่งยวดต่อไป ทำให้โดยรวมจะมีโครงการที่เข้าข่ายเกิน 1% และทางกูเกิลก็เตรียมคูปองสำหรับสั่งซื้อกุญแจไว้ให้ทั้งหมด 4,000 ชุด
แอปเปิลเปิดบริการ Passkeys บริการสร้าง เปิดทางให้ผู้ใช้ล็อกอินบริการต่างๆ ได้โดยง่าย ไม่มีการตั้งรหัสผ่านอีกต่อไป แต่อาศัยมาตรฐาน WebAuthn เพื่อขอล็อกอินกับตัวอุปกรณ์เช่น โน้ตบุ๊กหรือโทรศัพท์ได้เลย
กุญแจ Passkeys จะซิงก์ข้ามอุปกรณ์ของแอปเปิลผ่าน iCloud Keychain ทำให้สามารถล็อกอินด้วยอุปกรณ์อะไรก็ได้ หรือหากต้องการล็อกอินบนอุปกรณ์อื่นที่ไม่ใช่ของแอปเปิลก็ยังแสกน QR มาล็อกอินได้ แบบเดียวกับการล็อกอิน LINE บนเดสก์ทอป
แนวทางนี้ตรงกับแนวทางที่แอปเปิลประกาศร่วมกับไมโครซอฟท์และกูเกิลไว้ก่อนหน้านี้ว่าจะผลักดันมาตรฐานการล็อกอินแบบไร้รหัสผ่าน
Arch Linux ออก Archinstall ตัวติดตั้งอัตโนมัติเวอร์ชั่น 2.5 แม้จะเป็นเวอร์ชั่นย่อยแต่ก็มีฟีเจอร์สำคัญคือรองรับการเข้ารหัสดิสก์ด้วยกุญแจ FIDO2 ในระดับเบต้า
ฟีเจอร์นี้มากับ systemd 248 ที่ออกมาตั้งแต่เดือนมีนาคมปีที่แล้ว โดย systemd ทำให้กระบวนการเข้ารหัสดิสก์และยืนยันกุญแจด้วยช่องทางต่างๆ เช่น FIDO2, TPM2, หรือสมาร์ตการ์ด PKCS#11 ทำได้ง่ายขึ้นมาก
แอปเปิล ไมโครซอฟท์ และกูเกิล ประกาศแผนความร่วมมือ เพื่อรองรับและผลักดันมาตรฐานการล็อกอินยืนยันตัวตนแบบไร้รหัสผ่าน ทั้งบนสมาร์ทโฟน เดสก์ท็อป และเบราว์เซอร์ ที่จัดทำโดย FIDO Alliance และ World Wide Web Consortium (W3C)
ประโยชน์สำหรับผู้ใช้งาน จะทำให้ลดขั้นตอนการล็อกอินซ้ำหลายครั้ง เป็นการลงชื่อยืนยันการใช้งานครั้งเดียว แล้วใช้งานได้ต่อเนื่องในทุกจุด
สองความสามารถใหม่ที่เพิ่มเติมมาในการล็อกอินของมาตรฐาน FIDO ได้แก่ (1) เข้าถึงข้อมูลประจำตัวจากการลงชื่อแบบ FIDO (Passkey) ได้ผ่านอุปกรณ์หลายเครื่อง รวมทั้งเครื่องใหม่ โดยไม่ต้องดำเนินการทุกบัญชี (2) ผู้ใช้งานสามารถตรวจสอบสิทธิ์แบบ FIDO บนอุปกรณ์พกพาใกล้ตัว เพื่อใช้ล็อกอินเข้าเว็บไซต์ หรือระบบปฏิบัติการใด ๆ
Universal 2nd Factor (U2F) เป็นมาตรฐานความปลอดภัยแบบ 2 ปัจจัยที่ผลักดันโดยกูเกิลและ Yubico มาตั้งแต่ปี 2014 โดยเน้นที่การยืนยันตัวตนด้วยอุปกรณ์ USB key
ภายหลังการยืนยันตัวตนด้วย USB key แพร่หลายมากขึ้น เกิดกลุ่ม FIDO Alliance ที่มีองค์กรเข้าร่วมเป็นจำนวนมาก สุดท้ายผลักดันให้เกิดมาตรฐานใหม่ Web Authentication หรือ WebAuthn ของ W3C ที่ใช้ล็อกอินเว็บโดยไม่ต้องใช้รหัสผ่านแบบเดิม ขึ้นมาทดแทน (จะมองว่า WebAuthn คือ U2F API เวอร์ชัน 2 ก็ได้)
ปัญหารหัสผ่านรั่วไหล หรือรหัสผ่านไม่ปลอดภัยเพียงพอเป็นปัญหาของบริการออนไลน์จำนวนมาก ในบริการออนไลน์จากผู้ให้บริการรายใหญ่ๆ มักมีความสามารถในการดูแลบริการ ไล่บล็อคไอพีของบอตที่ยิงรหัสผ่าน แต่กับเซิร์ฟเวอร์ขนาดเล็กที่ใช้งานในบ้านหรือในธุรกิจขนาดเล็กนั้นหากตั้งเซิร์ฟเวอร์ออกอินเทอร์เน็ตก็มักจะไม่มีเจ้าหน้าที่หรือระบบมอนิเตอร์มาตรวจสอบการล็อกอินผิดปกติจริงจัง ส่งผลให้มีความเสี่ยงถูกยิงรหัสผ่านจนคนร้ายยึดเครื่องได้โดยง่าย
GitHub ประกาศรองรับกุญแจ U2F เมื่อผู้ใช้จัดการ repository ผ่านทาง SSH ทำให้แน่ใจได้ว่าคำสั่งนั้นมาจากผู้ใช้จริง
ตัวโครงการ OpenSSH นั้นรองรับกุญแจ U2F มาตั้งแต่ปีที่แล้ว โดยขณะสร้างคู่กุญแจเพื่อล็อกอิน สามารถเลือกเป็นกุญแจแบบ ecdsa-sk
หรือ ed25519-sk
และผูกเข้ากับกุญแจ U2F ได้ ตอนนี้ทาง GitHub เปิดให้ผู้ใช้สามารถอัพโหลดกุญแจทั้งสองแบบเข้าไปยัง GitHub ได้
เมื่อผู้ใช้เปลี่ยนไปใช้กุญแจ SSH แบบผูกกับกุญแจ U2F แล้วเมื่อทำงานกับเซิร์ฟเวอร์ เช่น การ clone หรือ push ตัวคำสั่ง Git จะขอให้เอานิ้วแตะกุญแจ U2F เพื่อยืนยันความตั้งใจอีกครั้ง แนวทางนี้ทำให้ลดความเสี่ยงที่มัลแวร์จะดึงโค้ดหรือลบโค้ดบนเซิร์ฟเวอร์
Duo Secruity บริการยืนยันตัวตนผู้ใช้ของ Cisco ประกาศเพิ่มฟีเจอร์ล็อกอินแบบไร้รหัสผ่าน โดยอาศัยมาตรฐาน WebAuthn หรือ FIDO2
ไคลเอนต์จำนวนมากรองรับ WebAuthn อยู่แล้ว โดยเฉพาะเบราว์เซอร์หลักๆ แทบทุกตัว กระบวนการยืนยันตัวตนอาศัยกุญแจเข้ารหัสลับในอุปกรณ์ยืนยันตัวตน ที่อาจจะเป็นกุญแจ USB หรือแม้แต่ตัวโทรศัพท์มือถือหรือโน้ตบุ๊กเอง ร่วมกับการยืนยันความเป็นเจ้าของอุปกรณ์ เช่น ใบหน้า, หมายเลข PIN, หรือลายนิ้วมือ
Cisco ระบุว่าทุกวันนี้ฝ่ายไอทีขององค์กรต้องรับมือกับปัญหารหัสผ่านของผู้ใช้เป็นงานก้อนใหญ่ การตัดรหัสผ่านออกไปเลยช่วยลดงานให้ฝ่ายไอที แถมลดความเสี่ยงได้ทั้งกรณีผู้ใช้โดนหลอกเอารหัสผ่าน, การใช้รหัสผ่านซ้ำ, ไปจนถึงเซิร์ฟเวอร์ถูกยิงรหัสผ่าน
เฟซบุ๊กประกาศรองรับการล็อกอินขั้นตอนที่สองด้วยกุญแจ FIDO บนโทรศัพท์มือถือ จากเดิมที่ใช้งานบนเว็บมาตั้งแต่ปี 2017
เฟซบุ๊กรองรับการล็อกอินขั้นตอนที่สองต่อจากรหัสผ่านทั้งหมด 4 วิธี ได้แก่ แอปล็อกอิน (เช่น Google Authenticator, Microsoft Authenticator), กุญแจ FIDO หรือ Security Key, ข้อความ SMS, รหัสผ่านกู้คืนบัญชี เป็นรหัสตายตัวจดใส่กระดาษไว้ใช้งานภายหลัง แต่ที่ผ่านมาการล็อกอินบนโทรศัพท์มือถือนั้นไม่รองรับกุญแจ FIDO
การใช้กุญแจ FIDO บนโทรศัพท์มือถือมีหลายรูปแบบทั้งการเสียบ USB เหมือนเดสก์ทอป, แตะ NFC, และเชื่อมต่อผ่าน Bluetooth โดยแอปเฟซบุ๊กรองรับทั้งหมดทั้งบน iOS และแอนดรอยด์
Twitter เปิดให้ใช้กุญแจ FIDO (Twitter เรียกว่า Security Key) ที่เป็นอุปกรณ์ยืนยันตัวตนเชื่อมต่อผ่าน USB, Bluetooth,หรือ NFC สำหรับยืนยันตัวตนสองขั้นตอนได้ตั้งแต่เดือนมิถุนายน ปี 2018 แต่ก่อนหน้านี้ผู้ใช้จะต้องมีวิธีอื่น เช่นการรับรหัสทาง SMS เผื่อไว้ด้วย ไม่สามารถใช้แค่ Security Key ได้ และใช้ Security Key ได้หนึ่งชิ้นต่อหนึ่งบัญชีเท่านั้น
ล่าสุด Twitter อัพเดตให้ผู้ใช้สามารถใช้ Security Key มากกว่าหนึ่งชิ้นต่อหนึ่งบัญชีได้แล้ว รวมถึงระบุว่าเตรียมให้ผู้ใช้ ใช้เพียง Security Key เพื่อยืนยันตัวตน โดยไม่ต้องเปิดใช้วิธีอื่นได้เร็วๆ นี้ ซึ่งจะทำให้ผู้ใช้ไม่ต้องระบุข้อมูลส่วนตัวเพิ่มเติม เช่นเบอร์โทรศัพท์ เพื่อใช้การยืนยันตัวตนสองขั้นตอน เพิ่มความปลอดภัย และความเป็นส่วนตัวอีกระดับ
Victor Lomne และ Thomas Roche หรือทีมวิจัยความปลอดภัย NinjaLab รายงานถึงการทดลองดึงข้อมูลกุญแจภายในของ Titan Security Key ของกูเกิล ทำให้แฮกเกอร์สามารถล็อกอินบัญชีของเหยื่อได้ โดยอาศัยการวัดคลื่นแม่เหล็กไฟฟ้าจากชิปเข้ารหัสในกุญแจ
ชิปเข้ารหัสที่ถูกโจมตีครั้งนี้คือ NXP A7005a ที่รัน JavaCard Operating System ใช้เซ็นลายเซ็นดิจิทัลแบบ RSA-2048 และ ECC ขนาดไม่เกิน 320 บิต
Apple ปล่อยวิดีโอเซสชั่นใน WWDC 2020 โดยมีตอนหนึ่งโชว์ฟังก์ชันการล็อกอินเว็บไซต์บน Safari 14 แบบ frictionless experience ซึ่ง FIDO Alliance ระบุว่าเป็นการใช้เทคโนโลยี WebAuthn ระบบล็อกอินโดยไม่ต้องใช้รหัสผ่านที่ทาง W3C รับเข้าเป็นมาตรฐานเว็บในปีที่แล้ว
เทคโนโลยี WebAuthn หรือ Web Authentication API เป็นมาตรฐานกลางในการยืนยันตัวตนแบบใหม่ที่ให้นักพัฒนาเว็บไซต์เลือกเปิดใช้งาน ซึ่งระบบนี้พัฒนาโดย FIDO Alliance โดยกรณีของ iOS และ macOS คือ Apple จะเปิดให้ใช้ Touch ID หรือ Face ID ในการยืนยันตัวตนบนเว็บไซต์ต่าง ๆ ดังนั้นผู้ใช้จึงล็อกอินได้โดยไม่ต้องใส่ชื่อผู้ใช้งานและรหัสผ่านเหมือนเดิม
FIDO Alliance กลุ่มบริษัทเทคโนโลยีที่เน้นการหาระบบทดแทนรหัสผ่านได้ประกาศอย่างเป็นทางการว่า ตอนนี้ Apple ได้เข้าเป็นสมาชิกของกลุ่มอย่างเป็นทางการแล้ว โดยเป็นสมาชิกระดับบอร์ด (Board Level Members) ซึ่งเป็นระดับเดียวกับ Amazon, Arm, Facebook, Google, Intel, Lenovo, Microsoft และบริษัทเทคโนโลยีชื่อดังอื่น ๆ
แนวคิดของกลุ่ม FIDO คือการสร้างมาตรฐานกลางเพื่อการยืนยันตัวตนที่ปลอดภัยกว่าการใช้รหัสผ่าน เนื่องจากปัจจุบันรหัสผ่านนั้นเป็นระบบการยืนยันตัวตนรูปแบบเก่าที่มีจุดอ่อนหลายข้อ แต่ก็ยังไม่มีมาตรฐานกลางที่จะมาเสริมหรือทดแทนการยืนยันตัวตนแบบรหัสผ่านได้ดีพอ
กูเกิลเปิดซอร์สโค้ด OpenSK เฟิร์มแวร์กุญแจล็อกอินขั้นตอนที่สอง FIDO U2F และ FIDO2 โดยเขียนด้วยภาษา Rust และรองรับชิป Nordic nRF52840 โดยระบุว่าเลือกชิปตัวนี้เพราะมันรองรับการเชื่อมต่อวิธีหลักๆ แทบทั้งหมด ทั้ง NFC, Bluetooth LE, และ USB นอกจากนี้ยังมีวงจรเร่งความเร็วเข้ารหัสไว้ให้ด้วย
ในชิป nRF52840 มีคอร์ ARM CryptoCell-310 อยู่ภายในแต่ตอนนี้เฟิร์มแวร์ที่เปิดเผยออกมายังไม่ได้ใช้ความสามารถส่วนนี้ แต่ใช้โค้ดเข้ารหัสภาษา Rust ไปก่อน แม้โค้ดจะใช้งานได้แต่กูเกิลเตือนว่ายังไม่ได้ตรวจสอบการโจมตีแบบ side channel และไม่ได้ผ่านการรับรองจาก FIDO แต่อย่างใด
กูเกิลประกาศรองรับการใช้ไอโฟนเป็นโทเค็นล็อกอินขั้นตอนที่สองตามมาตรฐาน FIDO ทำให้การล็อกอินเว็บหรือบริการที่รองรับ FIDO ใช้สามารถกดแอปบนไอโฟนเพื่อยืนยันการล็อกอินได้ทันที
การเปิดใช้งานต้องเปิดด้วยแอป Smart Lock ของกูเกิล และระหว่างใช้งานต้องเปิด Bluetooth ไว้ แต่ไม่ต้อง pair อุปกรณ์แต่อย่างใด และไอโฟนต้องรัน iOS 10.0 ขึ้นไปเท่านั้น
กูเกิลปล่อยฟีเจอร์ FIDO2 บนโทรศัพท์ ทำให้ผู้ใช้ที่เคยล็อกอินบริการและลงทะเบียนโทรศัพท์เอาไว้ สามารถล็อกอินซ้ำโดยไม่ต้องใส่รหัสผ่านอีกครั้งเมื่อใช้โทรศัพท์เครื่องเดิม (local user verification)
การปรับปรุงครั้งนี้ใช้ฟีเจอร์ของมาตรฐาน FIDO2, WebAuthn, และ FIDO CTAP เมื่อเข้าเว็บหรือแอปที่เคยลงทะเบียนโทรศัพท์ไว้ เว็บจะเรียก WebAuthn API เพื่อข้อข้อมูลเข้ารหัสลับยืนยันว่าเป็นโทรศัพท์เครื่องเดิมที่เคยลงทะเบียนไว้ ตัวโทรศัพท์จะขอให้ผู้ใช้ยืนยันลายนิ้วมือหรือปลดล็อกหน้าจอด้วยวิธีอื่น เช่น PIN หรือรหัสผ่านของโทรศัพท์
กูเกิลเริ่มขยายตลาดของ กุญแจยืนยันตัวตน Titan Security Keys ที่เชื่อมต่อกับพีซีหรืออุปกรณ์พกพาผ่าน USB/Bluetooth/NFC ไปยังประเทศอื่นนอกสหรัฐอเมริกาแล้ว
ประเทศชุดที่สองที่ Titan Security Keys วางขายมี 4 ประเทศคือ แคนาดา ฝรั่งเศส ญี่ปุ่น สหราชอาณาจักร โดยยังจำกัดช่องทางการขายผ่านร้านออนไลน์ Google Store ในแต่ละประเทศเท่านั้น
กุญแจ Titan Security Keys ถือเป็นกุญแจยืนยันตัวตนแบรนด์ของกูเกิลเอง ถือเป็นอีกหนึ่งทางเลือกนอกเหนือจากกุญแจยี่ห้อ Yubico ที่นิยมใช้งานกันทั่วไป
ไมโครซอฟท์ประกาศปล่อยฟีเจอร์ล็อกอินโดยไม่ใช้รหัสผ่าน (passwordless login) บนบริการ Azure AD ให้ทุกองค์กรใช้งานแล้วหลังจากประกาศฟีเจอร์นี้มาตั้งแต่ปลายปีที่ผ่านมา
ฟีเจอร์นี้เปิดให้ผู้ใช้สามารถล็อกอินได้ผ่านทางกุญแจ FIDO2 (ต้องเวอร์ชั่น 2 เท่านั้น) หรือผ่านทางแอป Microsoft Authenticator ที่จะแจ้งเตือนเมื่อมีการล็อกอิน แล้วให้กดยืนยันจากในแอป
ไมโครซอฟท์ประกาศแนวทางการลดใช้รหัสผ่านด้วย FIDO 2.0 มาเป็นเวลานานตั้งแต่ปี 2015 โดยก่อนหน้านี้เริ่มใช้งานใน Windows Hello มาก่อนแล้ว และหลังจากนี้ก็เริ่มใช้งานในระดับองค์กรได้แล้ว
FIDO Alliance ประกาศตั้งกลุ่มกำหนดมาตรฐานอุตสาหกรรมด้าน IoT ขึ้นมาสองกลุ่ม เพื่อนำระบบยืนยันตัวตนของ FIDO เข้ามาใช้งานเป็นมาตรฐานในกลุ่มสินค้าประเภท IoT เพื่อให้ IoT ที่กำลังจะแพร่หลายในอนาคตมีมาตรฐานด้านความปลอดภัยที่ชัดเจนและรัดกุมกว่าปัจจุบัน
กลุ่มที่กำหนดมาตรฐานกลุ่มแรกคือ Identity Verification and Binding Working Group ที่จะกำหนดกฎเกณฑ์ของ remote ID verification รวมถึงพัฒนาเอกสารให้ความรู้และจัดทำกระบวนการออกใบรับรองให้ผู้ผลิตสินค้า IoT ที่ผ่านมาตรฐานด้วย