Trace Id is missing
Преминаване към основното съдържание
Microsoft Security

Какво е FIDO2?

Научете основите на удостоверяването без парола FIDO2, включително как работи и помага за защитата на физически лица и организации срещу онлайн атаки.

Намаляване на риска с удостоверяване без парола

Дефиниция на FIDO2

FIDO2 (Fast IDentity Online 2) е отворен стандарт за потребителско удостоверяване, който има за цел да укрепи начина, по който хората влизат в онлайн услуги, за да се повиши общото доверие. FIDO2 укрепва сигурността и защитава лицата и организациите от киберпрестъпления, като използва криптографски удостоверения, устойчиви на фишинг, за потвърждаване на самоличността на потребителите.

FIDO2 е най-новият отворен стандарт за удостоверяване, разработен от FIDO Alliance - индустриален консорциум, включващ Microsoft и други технологични, търговски и правителствени организации. Алиансът пусна стандартите за удостоверяване FIDO 1.0 - които въведоха устойчивото на фишинг многофакторно удостоверяване (MFA) - през 2014 г., а най-новия стандарт за удостоверяване без парола - FIDO2 (наричан също FIDO 2.0 или FIDO 2) - през 2018 г.

Какво представляват паролите и как са свързани с FIDO2?

Без значение колко дълги или сложни са паролите, или колко често се сменят, те могат да бъдат компрометирани, като бъдат волно или неволно споделени. Дори и с решение за защита на силна парола, всяка организация е изложена на известен риск от фишинг, хакерство и други кибератаки, при които паролите се крадат. Веднъж попаднали в чужди ръце, паролите могат да бъдат използвани за получаване на неоторизиран достъп до онлайн акаунти, устройства и файлове.

Ключовете за достъп са идентификационни данни за влизане във FIDO2, които се създават чрез криптография с публичен ключ. Ефективен заместител на паролите, те повишават киберсигурността, като същевременно правят влизането в поддържаните уеб приложения и уебсайтове по-удобно за потребителя в сравнение с традиционните методи.

Удостоверяването без парола FIDO2 разчита на криптографски алгоритми за генериране на двойка частни и публични ключове за достъп - дълги, случайни числа, които са математически свързани. Двойката ключове се използва за извършване на удостоверяване на потребителя директно на устройството на крайния потребител, независимо дали е настолен компютър, лаптоп, мобилен телефон или ключ за сигурност. Ключът за достъп може да бъде обвързан с едно потребителско устройство или автоматично да се синхронизира с многобройните устройства на потребителя чрез облачна услуга.

Как работи удостоверяването с FIDO2?

Удостоверяването без парола по FIDO2 работи, като по принцип се използват ключове за достъп като първи и основен фактор за удостоверяване на акаунт. Накратко, когато потребителят се регистрира в онлайн услуга, поддържана от FIDO2, клиентското устройство, регистрирано за извършване на удостоверяването, генерира двойка ключове, която работи само за това уеб приложение или уебсайт.

Публичният ключ се криптира и се споделя с услугата, но частният ключ остава на сигурно място в устройството на потребителя. След това всеки път, когато потребителят се опитва да влезе в услугата, услугата представя уникално предизвикателство на клиента. Клиентът активира устройството с ключове за достъп, за да подпише заявката с частния ключ и да я върне. По този начин процесът е криптографски защитен от фишинг.

Видове FIDO2 удостоверители

Преди устройството да може да генерира уникален набор от FIDO2 ключове за достъп, то трябва да потвърди, че потребителят, който иска достъп, не е неоторизиран потребител или вид злонамерен софтуер. Това става с помощта на удостоверител, който представлява устройство, което може да приема ПИН код, биометрични данни или друг потребителски жест.

Съществуват два вида удостоверители FIDO:

Роуминг (или междуплатформени) удостоверители

Тези удостоверители са преносими хардуерни устройства, които са отделени от клиентските устройства на потребителите. Роуминг удостоверителите включват ключове за сигурност, смартфони, таблети, устройства за носене и други устройства, които се свързват с клиентски устройства чрез USB протокол или безжична технология за комуникация в близко поле (NFC) и Bluetooth. Потребителите потвърждават самоличността си по различни начини, като например чрез включване на FIDO ключ и натискане на бутон или чрез предоставяне на биометрични данни, като например пръстов отпечатък, на своя смартфон. Роуминг удостоверителите са известни и като междуплатформени удостоверители, тъй като позволяват на потребителите да се удостоверяват на множество компютри, по всяко време и навсякъде.

Платформени (или обвързани) удостоверители

Тези удостоверители са вградени в клиентските устройства на потребителите, независимо дали става въпрос за настолен компютър, лаптоп, таблет или смартфон. Съдържащи биометрични възможности и хардуерни чипове за защита на ключове, платформените удостоверители изискват потребителят да влезе в поддържаните от FIDO услуги със своето клиентско устройство, след което да се удостовери чрез същото устройство, обикновено с биометрични данни или ПИН код.

Примери за платформени удостоверители, които използват биометрични данни, са Microsoft Windows Hello, Apple Touch ID и Face ID и Android Fingerprint.

Как да се регистрирате и да влезете в услугите, поддържани от FIDO2:

За да се възползвате от повишената сигурност, която предлага удостоверяването с FIDO2, следвайте следните основни стъпки:

Как да се регистрирате за услуга, поддържана от FIDO2:

Стъпка 1: Когато се регистрирате в дадена услуга, ще бъдете подканени да изберете поддържан от FIDO метод за удостоверяване.

Стъпка 2: Активирайте удостоверителя FIDO с прост жест, който удостоверителят поддържа, независимо дали въвеждате ПИН код, докосвате четец за пръстови отпечатъци или поставяте ключ за сигурност FIDO2.

Стъпка 3: След като удостоверителят бъде активиран, вашето устройство ще генерира двойка частен и публичен ключ, която е уникална за вашето устройство, акаунт и услуга.

Стъпка 4: Вашето локално устройство съхранява по сигурен начин частния ключ и всяка поверителна информация, свързана с метода за удостоверяване, като например биометричните ви данни. Публичният ключ се криптира и заедно с произволно генериран идентификатор на удостоверение се регистрира в услугата и се съхранява на нейния сървър за удостоверяване.

Как да влезете в услуга, поддържана от FIDO2:

Стъпка 1: Услугата отправя криптографско предизвикателство, за да потвърди присъствието ви.

Стъпка 2: Когато бъдете подканени, извършете същия жест на удостоверителя, използван по време на регистрацията на акаунта. След като потвърдите присъствието си с жеста, устройството ви ще използва частния ключ, съхраняван локално на устройството ви, за да подпише предизвикателството.

Стъпка 3: Устройството ви изпраща подписаното предизвикателство обратно към услугата, която го проверява със сигурно регистрирания публичен ключ.

Стъпка 4: След като приключите, сте влезли в системата.

Какви са предимствата на удостоверяването FIDO2?

Предимствата на удостоверяването без парола FIDO2 включват по-голяма сигурност и поверителност, удобство за потребителите и подобрена мащабируемост. FIDO2 също така намалява работното натоварване и разходите, свързани с управлението на достъпа.

  • Повишава сигурността

    Удостоверяването без парола на FIDO2 значително повишава сигурността на влизане, като разчита на уникални ключове за достъп. С FIDO2 хакерите не могат лесно да получат достъп до тази чувствителна информация чрез фишинг, рансъмуер и други често срещани актове на киберкражба. Биометричните ключове и ключовете FIDO2 също така помагат да се премахнат уязвимостите в традиционните многофакторни методи за удостоверяване, като например изпращането на еднократни пароли (OTP) чрез текстови съобщения.

  • Подобрява поверителността на потребителя

    Удостоверяването чрез FIDO засилва поверителността на потребителите чрез сигурно съхраняване на частни криптографски ключове и биометрични данни на потребителските устройства. Освен това, тъй като този метод на удостоверяване генерира уникални двойки ключове, той помага на доставчиците на услуги да не проследяват потребителите в различни сайтове. Също така, в отговор на опасенията на потребителите относно потенциалната злоупотреба с биометрични данни, правителствата приемат закони за защита на личните данни, които не позволяват на организациите да продават или споделят биометрична информация.

  • Повишава лесната употреба

    С удостоверяването FIDO лицата могат бързо и удобно да удостоверяват самоличността си, като използват ключове FIDO2, удостоверителни приложения или четци за пръстови отпечатъци или камери, вградени в техните устройства. Въпреки че потребителите трябва да извършат втора или дори трета стъпка за сигурност (например когато за проверка на самоличността се изисква използването на повече от една биометрична информация), те си спестяват времето и неприятностите, свързани със създаването, запомнянето, управлението и нулирането на пароли.

  • Подобрява мащабируемостта

    FIDO2 е отворен, безлицензионен стандарт, който позволява на предприятията и други организации да мащабират методите за удостоверяване без парола в световен мащаб. С FIDO2 те могат да предоставят сигурни и рационализирани възможности за влизане в системата на всички служители, клиенти и партньори, независимо от избрания от тях браузър и платформа.

  • Опростява управлението на достъпа

    ИТ екипите вече не трябва да внедряват и управляват политики и инфраструктура за пароли, което намалява разходите и ги освобождава да се съсредоточат върху дейности с по-висока стойност. Освен това се повишава производителността на служителите от помощния център, тъй като не се налага да обслужват заявки, базирани на пароли, като например нулиране на пароли.

Какво представляват WebAuthn и CTAP2?

Наборът от спецификации FIDO2 се състои от два компонента: Уеб удостоверяване (WebAuthn) и Протокол 2 за връзка между клиенти и удостоверители (CTAP2). Основният компонент, WebAuthn, е API на JavaScript, който се реализира в съвместими уеб браузъри и платформи, така че регистрираните устройства да могат да  извършват удостоверяване FIDO2. World Wide Web Consortium (W3C), международната организация за стандартизация на World Wide Web, разработи WebAuthn в партньорство с FIDO Alliance. През 2019 г. WebAuthn стана официален уеб стандарт на W3C.

Вторият компонент, CTAP2, разработен от FIDO Alliance, позволява на роуминг автентификатори, като например ключове за сигурност FIDO2 и мобилни устройства, да комуникират с поддържани от FIDO2 браузъри и платформи.

Какво представляват FIDO U2F и FIDO UAF?

FIDO2 еволюира от FIDO 1.0 - първите спецификации за удостоверяване на FIDO, публикувани от алианса през 2014 г. Тези първоначални спецификации включваха протокола FIDO Universal Second Factor (FIDO U2F) и протокола FIDO Universal Authentication Framework (FIDO UAF).

Както FIDO U2F, така и FIDO UAF са форми на многофакторно удостоверяване, което изисква две или три доказателства (или фактори) за валидиране на потребителя. Тези фактори могат да бъдат нещо, което само потребителят знае (например код за достъп или ПИН), притежава (например FIDO ключ или приложение за удостоверяване на мобилно устройство) или е (например биометрични данни).

Научете повече за тези спецификации:

FIDO U2F

FIDO U2F подсилва стандартите за удостоверяване, базирани на парола, с двуфакторно удостоверяване (2FA), която потвърждава потребителя с две доказателства. Протоколът FIDO U2F изисква от лицето да предостави валидна комбинация от потребителско име и парола като първи фактор, след което да използва USB, NFC или Bluetooth устройство като втори фактор, като обикновено удостоверяването се извършва чрез натискане на бутон или въвеждане на чувствителен към времето OTP.

FIDO U2F е наследник на CTAP 1 и предшественик на CTAP2, който позволява на лицата да използват мобилни устройства в допълнение към ключовете FIDO като устройства за втори фактор.

FIDO UAF

FIDO UAF улеснява многофакторното удостоверяване без парола. То изисква от дадено лице да влезе в системата с регистрирано във FIDO клиентско устройство - което потвърждава присъствието на потребителя с биометрична проверка, като например сканиране на пръстов отпечатък или лице, или с ПИН - като първи фактор. След това устройството генерира уникалната двойка ключове като втори фактор. Уебсайтът или приложението могат да използват и трети фактор, например биометрични данни или географско местоположение на потребителя.

FIDO UAF е предшественик на удостоверяването без парола на FIDO2.

Как да внедрите FIDO2

Внедряването на стандарта FIDO2 в уебсайтове и приложения изисква организацията ви да разполага със съвременен хардуер и софтуер. За щастие всички водещи уеб платформи, включително Microsoft Windows, Apple iOS и MacOS и системите Android, и всички основни уеб браузъри, включително Microsoft Edge, Google Chrome, Apple Safari и Mozilla Firefox, поддържат FIDO2. Вашето решение за управление на идентичността и достъпа (IAM) също трябва да поддържа удостоверяване с FIDO2.

Като цяло въвеждането на удостоверяване с FIDO2 в нови или съществуващи уебсайтове и приложения включва следните основни стъпки:

  1. Определете начина на влизане на потребителите и методите за удостоверяване и задайте политики за контрол на достъпа.
  2. Създаване на нови или промяна на съществуващи страници за регистрация и влизане с подходящи спецификации на протокола FIDO.
  3. Настройте FIDO сървър за удостоверяване на заявки за регистрация и удостоверяване на FIDO. Сървърът FIDO може да бъде самостоятелен сървър, да се интегрира с уеб сървър или сървър за приложения или да се предостави като модул IAM.
  4. Изграждане на нови или модифициране на съществуващи работни потоци за удостоверяване.

Удостоверяване FIDO2 и биометрични данни

Биометричното удостоверяване използва уникални биологични или поведенчески характеристики на дадено лице, за да потвърди, че то е това, за което се представя. Биометричните данни се събират и преобразуват в биометрични шаблони, които са достъпни само с помощта на секретен алгоритъм. Когато лицето се опита да влезе в системата, тя възстановява информацията, преобразува я и я сравнява със съхранените биометрични данни.

Примерите за биометрична автентификация включват следното:

Биологични

  • Сканиране на пръстови отпечатъци
  • Сканиране на ретината
  • Разпознаване на глас
  • ДНК съвпадение
  • Сканиране на вени

Поведенчески

  • Използване на сензорен екран
  • Скорост на писане
  • Клавиатурни комбинации
  • Активност на мишката

Биометричното удостоверяване е реалност на съвременните хибридни, цифрови работни места. Служителите харесват факта, че то им дава гъвкавост да се удостоверяват бързо и сигурно, където пожелаят. Предприятията харесват това, че то значително намалява повърхността на атаките им, възпирайки киберпрестъпленията, които иначе биха могли да бъдат насочени към техните данни и системи.

И все пак биометричното удостоверяване не е напълно защитено от хакери. Например, зложелателите могат да използват биометрични данни на някой друг, като снимка или силиконов пръстов отпечатък, за да се представят за него. Или могат да комбинират няколко сканирания на пръстови отпечатъци, за да създадат основно сканиране, което им дава достъп до няколко потребителски акаунта.

Съществуват и други недостатъци на биометричното удостоверяване. Някои системи за лицево разпознаване например имат присъщо предубеждение към жените и цветнокожите. Освен това някои организации избират да съхраняват биометрични данни на сървъри с бази данни, а не на устройствата на крайните потребители, което повдига въпроси за сигурността и поверителността. Въпреки това многофакторното биометрично удостоверяване остава един от най-сигурните методи за проверка на самоличността на потребителите, налични днес.

Примери за удостоверяване FIDO2

Изискванията за сигурност и логистика за проверка на самоличността варират в рамките на организациите и между тях. По-долу са представени обичайните начини, по които организациите в различни отрасли прилагат удостоверяването FIDO2.

  • Банково дело, финансови услуги и застраховане

    За да защитят чувствителни бизнес данни и данни за клиенти, служителите, които работят в корпоративни офиси, често използват предоставени от компанията настолни компютри или лаптопи с платформени удостоверители. Фирмената политика им забранява да използват тези устройства за лична употреба. Служителите в клоновете и кол центровете на място често използват общи устройства и потвърждават самоличността си с помощта на удостоверители в роуминг.

  • Авиация и авиокомпании

    Организациите в тези отрасли също трябва да се съобразяват с лица, които работят в различни условия и имат различни отговорности. Изпълнителните директори, служителите в отдел „Човешки ресурси“ и други служители, работещи в офиси, често използват специални настолни и преносими компютри и удостоверяват самоличността си с платформени или роуминг удостоверители. Агентите на летищните портали, механиците на самолетите и членовете на екипажа често използват хардуерни ключове за сигурност или удостоверителни приложения на личните си смартфони, за да се удостоверяват на споделени таблети или работни станции.

  • Производство

    За да се гарантира физическата сигурност на производствените съоръжения, оторизираните служители и други лица използват удостоверители в роуминг - като смарткарти с поддръжка на FIDO2 и ключове FIDO2 - или регистрирани лични смартфони с платформени удостоверители, за да отключват врати. Освен това екипите за проектиране на продукти често използват специални настолни компютри или лаптопи с платформени удостоверители за достъп до онлайн системи за проектиране, които съдържат защитена информация.

  • Спешни услуги

    Правителствените агенции и други доставчици на услуги за спешна помощ не винаги могат да удостоверят парамедиците и други лица, които реагират първи, с пръстови отпечатъци или сканиране на ириса. Често тези лица носят ръкавици или предпазни средства за очите в същото време, когато трябва да получат бърз достъп до онлайн услуги. В тези случаи вместо това те се идентифицират чрез системи за гласово разпознаване. Могат да се използват и нововъзникващите технологии за сканиране на формата на ушите със смартфони.

Създайте спокойна сигурност с FIDO2

Удостоверяването без парола бързо се превръща в най-добрата практика за IAM. Приемайки FIDO2, вие знаете, че използвате надежден стандарт, за да сте сигурни, че потребителите са тези, за които се представят.

За да започнете работа с FIDO2, внимателно преценете специфичните си организационни и отраслови изисквания за проверка на самоличността. След това рационализирайте внедряването на FIDO2 с Microsoft Entra ID (известна преди като Azure Active Directory). Съветникът за методи без парола в  Microsoft Entra ID опростява управлението на Windows Hello за бизнеса, приложението Microsoft Authenticator и ключовете за сигурност на FIDO2.

Научете повече за Microsoft Security

Microsoft Entra ID (преди известна като Azure Active Directory)

Защитете достъпа до ресурси и данни, като използвате сигурно удостоверяване и адаптивен достъп, базирани на риска.

Научете повече

Управление на самоличности на Microsoft Entra

Увеличете производителността и укрепете сигурността чрез автоматизиране на достъпа до приложения и услуги.

Научете повече

Управление на разрешения на Microsoft Entra

Управлявайте разрешенията за всяка самоличност или ресурс във вашата многооблачна инфраструктура.

Научете повече

Проверен ИД на Microsoft Entra

Уверено издавайте и проверявайте удостоверения за работно място и други пълномощия с решение с отворени стандарти.

Научете повече

Идентичности на работното натоварване на Microsoft Entra

Намалете риска, като предоставяте на приложения и услуги условен достъп до облачни ресурси, всичко това на едно място.

Научете повече

Често задавани въпроси

  • FIDO2 е съкращение за (Fast IDentity Online 2) - най-новият отворен стандарт за удостоверяване, публикуван от FIDO Alliance. Съставен от Microsoft и други технологични, търговски и правителствени организации, алиансът се стреми да премахне използването на пароли в световната мрежа.

    Спецификациите на FIDO2 включват Web Authentication (WebAuthn), уеб API, който позволява на онлайн услугите да комуникират с удостоверителите на платформата FIDO2 (като например технологии за разпознаване на пръстови отпечатъци и лица, вградени в уеб браузъри и платформи). Разработен от World Wide Web Consortium (W3C) в партньорство с FIDO Alliance, WebAuthn е официален стандарт на W3C.

    FIDO2 включва и протокола Client-to-Authenticator Protocol 2 (CTAP2), разработен от алианса. CTAP2 свързва удостоверители в роуминг (като външни ключове за сигурност на FIDO2 и мобилни устройства) с клиентски устройства на FIDO2 чрез USB, BLE или NFC.

  • FIDO2 е отворен, безлицензен стандарт за многофакторно удостоверяване без парола в мобилни и настолни среди. FIDO2 работи, като използва криптография с публични ключове вместо пароли за потвърждаване на самоличността на потребителите, осуетявайки киберпрестъпниците, които се опитват да откраднат потребителските данни чрез фишинг, зловреден софтуер и други атаки, базирани на пароли.

  • Предимствата на удостоверяването с FIDO2 включват по-голяма сигурност и поверителност, удобство за потребителите и подобрена мащабируемост. FIDO2 също така опростява контрола на достъпа за ИТ екипите и служителите на бюрата за помощ, като намалява работното натоварване и разходите, свързани с управлението на потребителски имена и пароли.

  • Ключът FIDO2, наричан още ключ за сигурност FIDO2, е физическо хардуерно устройство, необходимо за двуфакторно и многофакторно удостоверяване. Действайки като роуминг удостоверител на FIDO, той използва USB, NFC или Bluetooth, за да се свърже с клиентско устройство на FIDO2, което позволява на потребителите да се удостоверяват на множество компютри, независимо дали са в офиса, у дома или в друга среда.

    Клиентското устройство проверява самоличността на потребителя, като го моли да използва ключа FIDO2, за да направи жест, например да докосне четец за пръстови отпечатъци, да натисне бутон или да въведе ПИН код. Ключовете FIDO2 включват ключове за включване, смартфони, таблети, носими устройства и други устройства.

  • Организациите внедряват методи за удостоверяване FIDO2 въз основа на своите уникални изисквания за сигурност, логистика и индустрия.

    Например банките и производителите, ориентирани към изследвания, често изискват от офисните и други служители да използват предоставените от компанията настолни компютри и лаптопи само за служебна употреба с платформени удостоверители. Организациите с хора в движение, като например екипажите на авиокомпаниите и екипите за спешно реагиране, вместо това често имат достъп до споделени таблети или работни станции и след това се удостоверяват с помощта на ключове за сигурност или удостоверителни приложения на своите смартфони.

Следвайте Microsoft 365