This is the Trace Id: 7c4e1145c8d60722fbc058b33817f987
Přeskočit na hlavní obsah
Zabezpečení od Microsoftu

Co je FIDO2?

Seznamte se se základy bezheslového ověřování FIDO2, včetně toho, jak funguje, a chraňte jednotlivce i organizace před online útoky.

Snížení rizika díky bezheslovému ověřování

Definice FIDO2

FIDO2 (Fast IDentity Online 2) je otevřený standard pro ověřování uživatelů, jehož cílem je posílit způsob, jakým se lidé přihlašují k online službám, aby se zvýšila celková důvěra. FIDO2 posiluje zabezpečení a chrání jednotlivce a organizace před kyberzločinci tím, že používá k ověření identit uživatelů kryptografické přihlašovacích údaje odolné vůči útokům phishing.

FIDO2 je nejnovější otevřený ověřovací standard vyvinutý organizací FIDO Alliance, průmyslovým konsorciem Microsoftu a dalšími technologickými, komerčními a vládními organizacemi. Aliance vydala ověřovací standardy FIDO 1.0 – které zavedly vícefaktorové ověřování (MFA) odolné proti útokům phishing – v roce 2014 a v roce 2018 vydala nejnovější standard bezheslového ověřování FIDO2 (označovaný také jako FIDO 2.0 nebo FIDO 2).

Co jsou klíče a jak souvisí s FIDO2?

Bez ohledu na to, jak dlouhá nebo složitá hesla jsou nebo jak často se mění, může je ohrozit vědomé nebo nevědomé sdílení. I v případě silného řešení pro ochranu heslem je u každé organizace určité riziko útoků phishing, hackerských útoků a dalších kybernetických útoků, při kterých dochází k odcizení hesel. Jakmile bude heslo v nesprávných rukou, může být použito k získání neoprávněného přístupu k online účtům, zařízením a souborům.

Klíče jsou přihlašovací údaje FIDO2, které se vytvářejí pomocí kryptografie veřejného klíče. Jedná se o efektivní náhradu hesel, která zvyšuje kybernetická bezpečnostkybernetickou bezpečnost a zároveň zvyšuje uživatelskou přívětivost přihlašování k podporovaným webovým aplikacím a webům v porovnání s tradičními metodami.

Bezheslové ověřování FIDO2 spoléhá na kryptografické algoritmy, které generují dvojici privátních a veřejných klíčů – dlouhých náhodných čísel, která spolu matematicky souvisejí. Pár klíčů slouží k ověření uživatele přímo na zařízení koncového uživatele, ať už jde o stolní počítač, přenosný počítač, mobilní telefon nebo klíč zabezpečení. Klíč může být svázán s jedním uživatelským zařízením nebo může být automaticky synchronizován mezi několika zařízeními uživatele prostřednictvím cloudové služby.

Jak funguje ověřování FIDO2?

Bezheslové ověřování FIDO2 funguje obecně tak, že jako první a primární faktor ověřování účtu používá klíče. Stručně řečeno, když se uživatel zaregistruje k online službě s podporou FIDO2, klientské zařízení zaregistrované k provedení ověřování vygeneruje pár klíčů, který funguje jenom pro tuto webovou aplikaci nebo web.

Veřejný klíč se šifruje a sdílí se službou, ale privátní klíč zůstane bezpečně uložen na zařízení uživatele. Pokaždé, když se pak uživatel pokusí přihlásit ke službě, služba klientovi nabídne jedinečnou výzvu. Klient aktivuje zařízení s klíčem, aby žádost podepsal privátním klíčem a vrátil ji. Díky tomu je proces kryptograficky chráněný před útoky phishing.

Typy ověřovacích zařízení FIDO2

Aby zařízení mohlo vygenerovat jedinečnou sadu klíčů FIDO2, musí potvrdit, že uživatel, který žádá o přístup, není neoprávněným uživatelem nebo typem Malwaremalwaru. Dělá to pomocí ověřovacího zařízení, což je zařízení, které může přijmout PIN kód, biometriku nebo jiné uživatelské gesto.

Existují dva typy ověřovacích zařízení FIDO:

Ověřovací zařízení pro roaming (nebo pro různé platformy)

Tato ověřovací zařízení jsou přenosná hardwarová zařízení, která jsou oddělená od klientských zařízení uživatelů. Mezi ověřovací zařízení pro roaming patří bezpečnostní klíče, smartphony, tablety, nositelná zařízení a další zařízení, která se připojují ke klientským zařízením prostřednictvím protokolu USB, nebo NFC a bezdrátové technologie Bluetooth. Uživatelé ověřují své identity různými způsoby, například zapojením klíče FIDO a stisknutím tlačítka nebo poskytnutím biometrického údaje, jako je otisk prstu, na smartphonu. Ověřovací zařízení pro roaming se označují také jako ověřovací zařízení pro různé platformy, protože umožňují uživatelům ověřování na více počítačích, kdykoli a kdekoli.

Ověřovací zařízení pro platformy (nebo vázaná)

Tato ověřovací zařízení jsou integrovaná v klientských zařízeních uživatelů, ať už jde o stolní počítač, přenosný počítač, tablet nebo smartphone. Ověřovací zařízení po platformy, které obsahují biometrické funkce a hardwarové čipy pro ochranu klíčů, vyžadují, aby se uživatel přihlásil ke službám s podporou FIDO pomocí svého klientského zařízení a pak se ověřil prostřednictvím stejného zařízení, obvykle pomocí biometrických údajů nebo PIN kódu.

Mezi příklady ověřovacích zařízení pro platformy, která používají biometrická data, patří Microsoft Windows Hello, Apple Touch ID, Face ID a Android Fingerprint.

Postup registrace a přihlášení ke službám podporujícím FIDO2:

Pokud chcete využít zvýšeného zabezpečení, které nabízí ověřování FIDO2, postupujte podle těchto základních kroků:

Postup registrace ke službě podporující FIDO2:

  • Krok 1: Při registraci ke službě se zobrazí výzva, abyste zvolili podporovanou ověřovací metodu FIDO.

  • Krok 2: Aktivujte ověřovací zařízení FIDO jednoduchým gestem, které ověřovací zařízení podporuje, například zadání PIN kódu, dotknutí se čtečky otisků prstů nebo vložení klíče zabezpečení FIDO2.

  • Krok 3: Jakmile se ověřovací zařízení aktivuje, vaše zařízení vygeneruje pár privátního a veřejného klíče, který je jedinečný pro vaše zařízení, účet a službu.

  • Krok 4: Vaše místní zařízení bezpečně uloží privátní klíč a veškeré důvěrné informace týkající se metody ověřování, jako jsou vaše biometrické údaje. Veřejný klíč se zašifruje a společně s náhodně vygenerovaným ID přihlašovacích údajů se registruje u služby a uloží na ověřovacím serveru.

Postup přihlášení ke službě podporující FIDO2:

  • Krok 1: Služba vydá kryptografickou výzvu k potvrzení vaší přítomnosti.

  • Krok 2: Po zobrazení výzvy proveďte stejné ověřovací gesto, které jste použili při registraci účtu. Jakmile potvrdíte svoji přítomnost gestem, vaše zařízení pak k podepsání výzvy použije privátní klíč uložený místně na vašem zařízení.

  • Krok 3: Vaše zařízení odešle podepsanou výzvu zpět do služby, která ji ověří pomocí bezpečně registrovaného veřejného klíče.

  • Krok 4: Po dokončení budete přihlášeni.

Jaké jsou výhody ověřování FIDO2?

Mezi výhody bezheslového ověřování FIDO2 patří lepší zabezpečení a ochrana osobních údajů, uživatelsky přívětivé prostředí a vylepšená škálovatelnost. FIDO2 také snižuje zatížení a náklady spojené se správou přístupu.

Lepší zabezpečení

Bezheslové ověřování FIDO2 výrazně zvyšuje Zabezpečení přihlášenízabezpečení přihlášení tím, že se spoléhá na jedinečné klíče. Díky FIDO2 nemůžou hackeři snadno získat přístup k těmto citlivým informacím prostřednictvím phishingu, ransomwarunebo dalších běžných způsobů kyberkrádeže. Biometrické údaje a klíče FIDO2 také pomáhají eliminovat ohrožení zabezpečení v tradičních metodách vícefaktorového ověřování, jako je odesílání jednorázových přístupových kódů (OTP) prostřednictvím textových zpráv.

Zvýšená ochrana osobních údajů uživatelů

Ověřování FIDO posiluje ochranu osobních údajů uživatelů bezpečným ukládáním privátních kryptografických klíčů a biometrických údajů do uživatelských zařízení. Vzhledem k tomu, že tato metoda ověřování generuje jedinečné páry klíčů, pomáhá také zabránit poskytovatelům služeb ve sledování uživatelů na různých webech. V reakci na obavy uživatelů ohledně potenciálního zneužití biometrických údajů navíc vlády uplatňují zákony na ochranu osobních údajů, které organizacím brání v prodeji nebo sdílení biometrických informací.

Podpora snadného používání

Díky ověřování FIDO můžou jednotlivci rychle a pohodlně ověřovat své identity pomocí klíčů FIDO2, ověřovacích aplikací, čtečky otisků prstů nebo fotoaparátů v jejich zařízeních. Ačkoli musí uživatelé provést druhý nebo dokonce i třetí krok zabezpečení (například když je k ověření identity potřeba zadat více biometrických údajů), šetří si čas a starosti spojené s vytvářením, zapamatováním, správou a resetováním hesel.

Lepší škálovatelnost

FIDO2 je otevřený standard bez nutnosti licence, který umožňuje firmám a dalším organizacím škálovat bezheslové metody ověřování po celém světě. Díky FIDO2 můžou poskytovat zabezpečené a zjednodušené možnosti přihlašování všem zaměstnancům, zákazníkům a partnerům bez ohledu na zvolený prohlížeč a platformu.

Zjednodušená správa přístupu

IT týmy už nemusí nasazovat a spravovat zásady hesel a infrastrukturu, což snižuje náklady a dává týmu volnost k tomu, aby se mohl soustředit na důležitější aktivity. Kromě toho roste produktivita pracovníků technické podpory, protože nemusí podporovat požadavky ohledně hesel, jako je resetování hesel.

Co jsou WebAuthn a CTAP2?

Sada specifikací FIDO2 má dvě části: Webové ověřování (WebAuthn) a protokol CTAP2 (Client-to-Authenticator Protocol 2). Hlavní součást, WebAuthn, je javascriptové rozhraní API implementované v kompatibilních webových prohlížečích a platformách a slouží k tomu, aby registrovaná zařízení mohla provádět ověřování FIDO2. Konsorcium World Wide Web (W3C), organizace pro mezinárodní standardy pro web, vyvinula WebAuthn ve spolupráci s organizací FIDO Alliance. WebAuthn se v roce 2019 stal formálním webovým standardem W3C.

Druhá součást, CTAP2, vyvinutá organizací FIDO Alliance, umožňuje ověřovacím zařízením pro roaming, jako jsou klíče zabezpečení FIDO2 a mobilní zařízení, komunikovat s prohlížečem a platformami podporovanými technologií FIDO2.

Co jsou FIDO U2F a FIDO UAF?

FIDO2 bylo vyvinuto z první specifikace ověřování FIDO vydané organizací FIDO Alliance v roce 2014 pod názvem FIDO 1.0. Původní specifikace zahrnovaly protokol FIDO Universal Second Factor (FIDO U2F) a protokol FIDO Universal Authentication Framework (FIDO UAF).

FIDO U2F i FIDO UAF jsou formy vícefaktorového ověřování, které k ověření uživatele vyžadují dva nebo tři důkazy (neboli faktory). Tyto faktory můžou být něco, co zná jenom uživatel (například heslo nebo PIN kód), vlastní jenom uživatel (například klíč FIDO nebo ověřovací aplikace na mobilním zařízení), nebo je jenom uživatel (například biometrické údaje).

Zjistěte další informace o těchto specifikacích:

FIDO U2F

FIDO U2F posiluje autorizační standardy založené na heslech využitím dvojúrovňového ověřování (2FA), které ověřuje uživatele dvěma důkazy. Protokol FIDO U2F vyžaduje, aby jednotlivec jako první faktor poskytl platnou kombinaci uživatelského jména a hesla a jako druhý faktor použil zařízení USB, NFC nebo Bluetooth, kterým se obecně ověřuje stisknutím tlačítka nebo zadáním jednorázového klíče v daném čase.

FIDO U2F je následníkem CTAP 1 a předchůdcem CTAP2, který umožňuje jednotlivcům používat kromě klíčů FIDO také mobilní zařízení jako zařízení druhého faktoru.

FIDO UAF

FIDO UAF usnadňuje vícefaktorové bezheslové ověřování. Vyžaduje, aby se jednotlivec v rámci prvního faktoru přihlásil pomocí klientského zařízení registrovaného k FIDO, které potvrzuje přítomnost uživatele biometrickou kontrolou, jako je otisk prstu, skenování obličeje, nebo PIN kód. Zařízení pak vygeneruje jedinečný pár klíčů jako druhý faktor. Web nebo aplikace může také používat třetí faktor, například biometriku nebo zeměpisnou polohu uživatele.

FIDO UAF je předchůdcem bezheslového ověřování FIDO2.

Jak implementovat FIDO2

Implementace standardu FIDO2 na webech a v aplikacích vyžaduje, aby vaše organizace měla moderní hardware a software. Všechny přední webové platformy, včetně systémů Microsoft Windows, Apple iOS, MacOS a Android, a všechny hlavní webové prohlížeče, včetně Microsoft Edge, Google Chrome, Apple Safari a Mozilla Firefox, naštěstí FiDO2 podporují. Vaše řešení správy identit a přístupu (IAM) musí podporovat také ověřování FIDO2.

Obecně platí, že implementace ověřování FIDO2 na nových nebo stávajících webech a aplikacích zahrnuje tyto klíčové kroky:

  1. Definujte prostředí pro přihlášení uživatele a metody ověřování a nastavte zásady řízení přístupu.
  2. Vytvořte nové nebo upravte existující registrační a přihlašovací stránky podle odpovídajících specifikací protokolu FIDO.
  3. Nastavte server FIDO pro ověřování žádostí o registraci a ověřování FIDO. Server FIDO může být samostatný server, integrace s webovým nebo aplikačním serverem, nebo poskytovaný jako modul IAM.
  4. Vytvořte nové nebo upravte existující ověřovací pracovní postupy.

FIDO2 a ověřování pomocí biometrických údajů

Ověřování pomocí biometrických údajů používá k potvrzení toho, že je osoba tím, za koho se vydává, jedinečné biologické nebo behaviorální charakteristiky. Biometrické údaje se shromažďují a převádějí na biometrické šablony, které jsou přístupné jenom pomocí tajného algoritmu. Když se osoba pokusí přihlásit, systém informace znovu zachytí, převede je a porovná s uloženým biometrickým údajem.

Mezi příklady ověřování pomocí biometrických údajů patří:

Biologické

  • Skenování otisků prstů
  • Skenování sítnice
  • Rozpoznávání hlasu
  • Porovnávání DNA
  • Skenování žil

Behaviorální

  • Použití dotykové obrazovky
  • Rychlost psaní
  • Klávesové zkratky
  • Aktivita myši

Biometrické ověřování je realitou dnešních hybridních digitálních pracovišť. Zaměstnancům se líbí skutečnost, že jim dává flexibilitu a umožňuje rychlé a bezpečné ověřování kdekoli. Takové firmy výrazně zmenšují svou potenciální oblast útoku a odrazují tak od kybernetické kriminality, která by se jinak mohla zaměřit na jejich data a systémy.

Biometrické ověřování ale není proti hackerům odolné úplně. Lidé se zlými úmysly můžou například předstírat, že jsou určitá osoba tím, že použijí její biometrické údaje, například fotografii nebo silikonový otisk prstu. Nebo můžou zkombinovat několik skenů otisků prstů a vytvořit původní naskenovaný obraz, který jim poskytne přístup k několika uživatelským účtům.

Existují i další nevýhody ověřování pomocí biometrických údajů. Některé systémy pro rozpoznávání obličeje mají například vykazují určitou předpojatost vůči ženám a osobám s jinou než bílou barvou pleti. Kromě toho se některé organizace rozhodnou ukládat biometrické údaje na databázových serverech, nikoli na zařízeních koncových uživatelů, což vzbuzuje otázky týkající se zabezpečení a ochrany osobních údajů. Vícefaktorové ověřování pomocí biometrických údajů ale zůstává jednou z nejbezpečnějších metod, které jsou dnes k ověření identit uživatelů k dispozici.

Příklady ověřování FIDO2

Požadavky na zabezpečení a logistiku pro ověření identity se v rámci jedné organizace a v různých organizacích liší. Níže jsou uvedené běžné způsoby, jak organizace v různých odvětvích implementují ověřování FIDO2.

Bankovnictví, finanční služby a pojišťovnictví

K ochraně citlivých obchodních a zákaznických dat používají zaměstnanci, kteří pracují ve firemních kancelářích, stolní počítače nebo přenosné počítače poskytované společností s ověřovacími zařízeními pro platformy. Zásady společnosti jim zakazují používat tato zařízení k osobním účelům. Zaměstnanci poboček a call center v terénu často používají sdílená zařízení a ověřují své identity pomocí ověřovacích zařízení pro roaming.

Letectví a letecké společnosti

Organizace v těchto odvětvích musí také počítat s osobami, které pracují v různých prostředích a mají různou odpovědnost. Vedoucí pracovníci, personální oddělení a další zaměstnanci v kancelářích často používají vyhrazené stolní počítače a notebooky a ověřují se pomocí ověřovacích zařízení pro platformy nebo roaming. Pracovníci u letištích bran, mechanici a členové posádek často používají hardwarové bezpečnostní klíče nebo ověřovací aplikace na svých osobních smartphonech a ověřují se na sdílených tabletech nebo pracovních stanicích.

Výroba

K zajištění fyzického zabezpečení výrobních zařízení používají autorizovaní zaměstnanci a další osoby k odemykání dveří ověřovací zařízení pro roaming – jako jsou čipové karty s podporou FIDO2 a klíče FIDO2 –, nebo registrované osobní smartphony s ověřovacími zařízeními pro platformy. Týmy pro návrh produktů navíc pro přístup k online systémům návrhu, které obsahují informace o vlastníkovi, často používají vyhrazené stolní počítače nebo přenosné počítače s ověřovacími zařízeními pro platformy.

Integrovaný záchranný systém

Státní úřady a další poskytovatelé tísňových služeb nemají vždy možnost ověřovat zdravotníky a další pracovníky tísňových služeb pomocí otisků prstů nebo sítnice. Tyto osoby mají často nasazené rukavice nebo pomůcky pro ochranu zraku právě v tu dobu, kdy potřebují rychlý přístup k online službám. V těchto případech se místo toho identifikují prostřednictvím systémů pro rozpoznávání hlasu. Je také možné používat nově vznikající technologie pro skenování tvaru uší pomocí smatphonu.

Zabezpečení bez obav s FIDO2

Bezheslové ověřováníBezheslové ověřování se rychle stává osvědčeným postupem pro IAM. Přijetím FIDO2 si zajistíte používání důvěryhodného standardu a budete mít jistotu, že uživatelé jsou tím, za koho se vydávají.

Pokud chcete začít používat FIDO2, pečlivě vyhodnoťte konkrétní organizační a oborové požadavky na ověření identity. Následně si zjednodušte implementaci FIDO2 pomocí služby Microsoft Entra ID (dříve označované jako Azure Active Directory). Průvodce metodami bezheslového ověřování v Microsoft Entra ID zjednodušuje správu funkce Windows Hello pro firmy, aplikace Microsoft Authenticator a klíčů zabezpečení FIDO2.

Další informace o zabezpečení od Microsoftu

Microsoft Entra ID (dříve označovaná jako Azure Active Directory)

Chraňte přístup k prostředkům a datům pomocí silného ověřování a adaptivního přístupu založeného na rizicích.

Další informace

Microsoft Entra Identity Governance

Zvyšte produktivitu a posilte zabezpečení automatizací přístupu k aplikacím a službám.

Další informace

Ověřené ID Microsoft Entra

S jistotou vystavujte a ověřujte pracovní a jiné přihlašovací údaje pomocí řešení s otevřenými standardy.

Další informace

ID úloh Microsoft Entra

Snižte riziko tím, že aplikacím a službám udělíte podmíněný přístup ke cloudových prostředkům, a to vše na jednom místě.

Další informace

Časté otázky

  • FIDO2 je zkratka pro Fast IDentity Online 2. Jedná se o nejnovější otevřený ověřovací standard vydaný organizací FIDO Alliance. Organizace FIDO Alliance, která se skládá z Microsoftu a dalších technologických, komerčních a vládních organizací, se snaží eliminovat používání hesel na webu.

    Specifikace FIDO2 zahrnuje webové ověřování (WebAuthn), což je webové rozhraní API, které umožňuje online službám komunikovat s ověřovacími zařízeními FIDO2 pro platformy (jako jsou technologie pro rozpoznávání otisků prstů a obličeje integrované ve webových prohlížečích a na platformách). WebAuthn, který vyvinulo konsorcium World Wide Web (W3C) ve spolupráci s organizací FIDO Alliance, je formálním standardem W3C.

    FIDO2 také zahrnuje protokol CTAP2 (Client-to-Authenticator Protocol 2) vyvinutý organizací FIDO Alliance. CTAP2 propojuje ověřovací zařízení pro roaming (například externí klíče zabezpečení FIDO2 a mobilní zařízení) s klientskými zařízeními FIDO2 prostřednictvím USB, BLE nebo NFC.

  • FIDO2 je otevřený standard bez nutnosti licence sloužící k vícefaktorovému bezheslovému ověřování v mobilních a desktopových prostředích. FIDO2 funguje tak, že k ověřování identit uživatelů používá místo hesel kryptografii s veřejným klíčem, aby odrazil útoky kyberzločinců, kteří se pokoušejí ukrást přihlašovací údaje uživatele prostřednictvím útoků phishing, malwaru a dalších útoků založených na heslech.

  • Mezi výhody ověřování FIDO2 patří větší zabezpečení a ochrana osobních údajů, uživatelsky přívětivé prostředí a vylepšená škálovatelnost. FIDO2 také zjednodušuje řízení přístupu pro IT týmy a pracovníky helpdesku tím, že snižuje počet úloh a náklady spojené se správou uživatelských jmen a hesel.

  • Klíč FIDO2, označovaný také jako klíč zabezpečení FIDO2, je fyzické hardwarové zařízení potřebné pro dvojúrovňové a vícefaktorové ověřování. Funguje jako ověřovací zařízení FIDO pro roaming a používá USB, NFC nebo Bluetooth k připojení ke klientskému zařízení FIDO2, což uživatelům umožňuje ověřování na více počítačích, ať už v kanceláři, doma nebo v jinde.

    Klientské zařízení ověří identitu uživatele tím, že požádá uživatele, aby použil klíč FIDO2 k provedení gesta, jako je dotyk na čtečce otisků prstů, stisknutí tlačítka nebo zadání PIN kódu. Klíče FIDO2 zahrnují klíče pro vložení, smartphony, tablety, nositelná zařízení a další zařízení.

  • Organizace nasazují metody ověřování FIDO2 na základě svých jedinečných požadavků na zabezpečení, logistiku a odvětví.

    Například banky a výrobci se zaměřením výzkum často vyžadují, aby zaměstnanci v kancelářích a ostatní zaměstnanci používali stolní počítače a přenosné počítače poskytované firmou a určené jen pro vykonávání práce, které obsahují ověřovací zařízení pro platformy. Organizace s lidmi na cestách, jako jsou členové posádky v letadle a týmy pro reakci na tísňová volání, místo toho často přistupují ke sdíleným tabletům nebo pracovním stanicím a pak se ověřují pomocí klíčů zabezpečení nebo ověřovacích aplikací na svých smartphonech.

Sledujte zabezpečení od Microsoftu